<![CDATA[百度黑客 Baidu hacker]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/gtomp zh-cn www.baidu.com 5 <![CDATA[MSN Editor 漏洞的检测技术]]> 这个编辑器相当的简陋,下午拿站的时候碰到了一个,没有数据库备份,也没有什么可以直接上传webshell的地方,简陋到只有一个editor的界面。

简单说下利用的方法吧。
点击图片上传后会出现上传页面,地址为

http://www.xxx.cn/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=

用普通的图片上传后,地址为
/pic/1/a2009-11-29-5802_1.gif

记住这时候的路径

在点击图片的上传,这时候地址就变成了
http://www.xxx.cn/news/admin/uploadPic.asp?language=&editImageNum=1&editRemNum=41513102009204012

很明显。图片的地址是根据RemNum后面的编号生成的。

利用很简单 配合IIS的解析漏洞,把RemNum后面的数据修改为1.asp;41513102009204012

变成下面这个地址

http://www.xxx.cn/admin/uploadPic.asp?language=&editImageNum=0&editRemNum=1.asp;41513102009204012

然后在浏览器里打开

然后选择你的脚本木马上传

将会返回下面的地址
uppic/1.asp;41513102009204012_2.gif

然后直接打开就是我们的小马地址!

加上修补方法!

by:想你挡挡闯墙

关键代码:

             if editRemNum<>"" then               
                remNum = editRemNum
             else
                Randomize
                remNum = Int((999 - 1 + 1) * Rnd + 1)&day(date)&month(date)&year(date)&hour(time)&minute(time)&second(time)
             end if
             remFileName = remNum&"_"&(editImageNum+1)&".gif"
          end if

哎,先不讲解了 。

去掉自定义部分,只留下随即参数即可。

保留代码:

                Randomize
                remNum = Int((999 - 1 + 1) * Rnd + 1)&day(date)&month(date)&year(date)&hour(time)&minute(time)&second(time)
             end if
             remFileName = remNum&"_"&(editImageNum+1)&".gif"

阅读全文
类别:黑客编程 查看评论]]> 2009/11/29 10:15 A.M. http://hi.baidu.com/gtomp/blog/item/546d76e7557ff824b838205e.html <![CDATA[锐起无盘2046完美破解教程]]> 压缩包里共有4个文件,3个是服务器补丁,1个客户端补丁(richdisk.sys)这个文件是工作站安装了客户端后要传到客户端的:C:\WINDOWS\system32\drivers 目录下,然后重起---再重起---接着重起就OK了~
包括:server 是服务端 client 是客户端
补丁有四个文件:
其中三个是服务端破解文件:Dlxpdhcp.exe Manager.exe RTIOSRV.EXE
一个是客户端破解:richdisk.sys

这里我就提供破解文件下载和安装文件下载

其中客户端安装文件超过10M偶分割过 分割软件里面也有 下来后你自己合成

请大家进入我的163邮箱 用户名myqq511600013 密码 buyaogaimima希望大家不要更改密码免得别人下不到
------------------------
安装过程
服务按默认装WIN2003SP1


图片1
装好后设置IP:我设IP是:192.168.1.8

图片2
然后安装锐起服务端,安装没什么,一路下一步按默认安装就行了。安装完后到服务里关闭锐起的两个服务:

图片3
把两服务端的破解补丁:Dlxpdhcp.exe Manager.exe 复制到锐起的安装目录。再重锐起的两个服务。
打开开始菜单中的锐起管理器,按提示输入映像目录、工作目录、临时目录,我是都放在D盘里(这里必须保证D盘是NTFS分区!),确定后进入管理主窗口,点击:磁盘管理建立映像盘,我就用锐起默认的80G没有变(避免麻烦):

图片4
然后点击选项设置,按下图设置:先配置工作站

图片5
IP地址:从192.168.1.10到192.168.1.254

图片6
确定完成后关闭锐起管理窗口,到D://rich/disk(这是我设置的,你根据自己的设置目录进去看看)中去看一下,没有发现我们建立的映像文件,没有映像文件是做不下去的!别急,这时再进系统的服务中去把锐起的两个服务停了。再把锐起的破解补丁:RTIOSRV.EXE 复制到锐起安装目录(还记得吗?刚才我们已复制了两个了)。然后重启电脑(你不重启电脑只重新打开锐起服务行不行?哈,你自己试试)!重启后再到D://rich/disk中看看,80G的映像文件已经有了:

图片7
好了,先转到客户机了,开机在BIOS中设置从网络启动,之后看到这个:我们已经得到了服务器分配的IP ,并且连上了锐起的服务端, 还显示出了锐起的网址http://www.richtech.net.cn
我们再回到服务器打开锐起管理器窗口,看到已经全自动建立了一条该工作站的启动信息,如下图

图8

双击它,选其它设置,把本地硬盘启动勾选上,确定回到窗口


图片9

再点击超级用户按钮,把这个工作站设为超级用户。(如果提示先关闭工作站,就点禁用然后又启动按钮。这样就能设了。)
到此服务器的工作暂时完成了,到客户端去安装客户端吧。
-------------------------
我的客户端安装XPsp2,右击本地连接选属性,删除QOS数据包计划程序

图片10
然后设置IP:192.168.1.10(这个IP应和服务器锐起管理里显示的哪条工作站IP相符合,否则服务器和客户机不能连通)

图片11
设置完PING一下服务器,已经通了:

图片12
然后安装锐起客户端程序了,到配置这项我的设置如下:

图片13
然后确定完成安装!
重启电脑(如果出现什么找到新硬件之类的提示,就按提示安装重启,我装了几遍,有时有有时没有,有的时候要重启2、3次),看设备管理器里,如图磁盘驱动器多出了这些东西:

图片14
但是进“计算机管理"-"磁盘管理"里还没有多出磁盘。我们把锐起客户端的破解补丁:richdisk.sys复制到C:\WINDOWS\system32\drivers 中覆盖原文件。然后又重启电脑。(从客户端安装以来,重启了几次电脑,我也不记得了。)重启后再进“计算机管理"-"磁盘管理"就出现这个提示,连接虚拟盘成功了:

图片15
然后按向导初始化磁盘,注意到这里不要勾选(不要转换成动态盘!),
然后新建磁盘分区,我只建4G,之后用NTFS格式格式化:

图片16
从开始菜单中打开锐起无盘上传程序:如图,它已经自动填上源盘和目标盘了,确认没有错,上传,等一会儿,上传完成退出,关机!取出硬盘。客户端设置至此全部完成!
--------------------
到服务端把这个超级用户重新设为普通用户,设从虚拟盘启动,所有工作完成了。
客户端网络方式启动,15台客户机顺利进入系统

图片17
阅读全文
类别:加密解密 查看评论]]> 2009/11/29 10:13 A.M. http://hi.baidu.com/gtomp/blog/item/b297dffaddfc24d4b58f315d.html <![CDATA[天空终于 有开始降起 小雪花了……]]>
类别:站长心声 查看评论]]> 2009/11/28 08:56 A.M. http://hi.baidu.com/gtomp/blog/item/f678f52a55fff127d52af156.html <![CDATA[QQ停车位全能助手V1.39绿色版]]>
外挂介绍

制作此软件的目的主要是为了能更方便的停车,为您节约时间的同时给您的QQ汽车带来更高的赢利.有了此软件您可以不用平凡的登陆QQ空间来操作停车位.可以自动停车,自动贴条,自动买车,自动换车,一键停车.
此软件为纯绿色软件,无须安装,不包含任何插件甚至后门.您可以放心的使用本软件.

主要功能:
1.【贴条】可以对选定的汽车进行贴条
2.【停车】自动挑选出一辆最合理的汽车停到指定车位上.减少操作步骤.使用更简洁
3.【举报】可以举报所有QQ好友的汽车
4.【留言】不用登陆QQ空间即可给对方进行留言
5.【挂机功能】只要电脑开机时启动了挂机功能.那么就自动为您操作你想操作的事件
6.【自动停车】电脑自动为您停车,更省心更省事.可以自己设定停车时间.比QQ停车位托管更方便,还能帮您节约Money!
7.【自动贴条】您想贴的都贴!不想贴的过滤掉即可.操作方便
8.【自动购买汽车】只要您还没有10辆车时,自动为您购买新车
9.【自动换购汽车】当挂机时,有足够的钱换购赢利更高的汽车时,自动为您换购汽车.这样为您的汽车带来更高的赢利!
10.【一键换停汽车】您只需用鼠标点一下,即可将所有汽车停到您想停的位置上!几秒钟即可操作完成!效率是手动停车的几十倍!
挂机提醒:
1.使用《挂机》前请先添加《停车场列表》,这样就不会照成汽车乱停乱放的现象了!也避免了被别人贴条!
2.使用《一键换停汽车》同上
3.如果您要使用《自动贴条》,请先添加《不贴条列表》,避免将自己朋友的汽车也贴掉!
4.本软件主要操作方式为【右键操作】
    QQ停车位全能助手V1.39绿色版
阅读全文
类别:游戏黑客 查看评论]]> 2009/11/22 09:10 A.M. http://hi.baidu.com/gtomp/blog/item/d798a418356619be4aedbccc.html <![CDATA[DNF龙王1002智能稳定高效版【地下城外挂]]>
外挂介绍

测试用户请勾选启动按钮右边的“测试用户”

龙王功能列表:
 [倍击] [无敌] [加速] [吸怪] [自动3S] [地冒火] [牛图]
 [远程仓库] [无限负重] [远程修理] [补血补蓝] [懒人模式]

注意事项:
1、请大家严格遵守功能说明中的提示进行游戏
2、刷图不要太快,过图时间控制在30秒以上
3、掉线后请等待60分钟再上号,否则会一直掉并且有封号的危险
4、龙王不支持PK场哦
5、请不要与其他程序一起使用,使用前保证系统的安全干净!

快捷键列表
·懒人模式
F8 - 懒人模式(开启或关闭)
·倍击
Page Up - 增加一倍伤害
Page Down - 降低一倍伤害
Ctrl+1 - 恢复到正常伤害
Ctrl+2 - 4倍伤害
Ctrl+3 - 8倍伤害
Ctrl+4 - 12倍伤害
Ctrl+5 - 千倍伤害(牛柱专用,请勿用于刷图)
·无敌
F3 - 开启无敌
F4 - 关闭无敌
·加速
F9 - 开关加速(开启或关闭加速功能)
·吸怪
F1 - 吸怪
小键盘0 - 吸怪
·自动3S
F11 - 开启自动3S评分功能
F12 - 关闭自动3S评分功能
·地冒火
F5 - 地冒火
加号 - 增加1倍地冒火的伤害
减号 - 减少1倍地冒火的伤害
·远程仓库
Ctrl+7 - 立刻打开仓库
·无限负重
Ctrl+8 - 无限负重(开启或关闭)
·远程修理
Ctrl+9 - 立刻修理所穿装备
·补血补蓝
F10 - 补血补蓝

DNF龙王1002智能稳定高效版下载 阅读全文
类别:游戏黑客 查看评论]]> 2009/11/22 09:05 A.M. http://hi.baidu.com/gtomp/blog/item/2676b252ac38b1040cf3e3c2.html <![CDATA[浅谈几款中强壳的手工脱法 二]]>
复制内容到剪贴板
代码:
0040161E 0000          add     byte ptr [eax], al
00401620 0000          add     byte ptr [eax], al
00401622 0000          add     byte ptr [eax], al
00401624 0000          add     byte ptr [eax], al
00401626 0000          add     byte ptr [eax], al
00401628 0000          add     byte ptr [eax], al
0040162A 0000          add     byte ptr [eax], al
0040162C 0000          add     byte ptr [eax], al
0040162E 0000          add     byte ptr [eax], al
00401630 0000          add     byte ptr [eax], al
00401632 0000          add     byte ptr [eax], al
00401634 0000          add     byte ptr [eax], al
全是0字节。没事,鼠标点选00401620这行,按下F4,也就是“断点”→“运行到所选”,看到00401620这行代码立马就变了,变成了如下代码:
复制内容到剪贴板
代码:
00401614- FF25 84104000   jmp   dword ptr [401084]; MSVBVM60.PutMemStr
0040161A   - FF25 20114000 jmp dword ptr [401120]   ; MSVBVM60.ThunRTMain
00401620 68 70284000   push 00402870   ; ASCII "VB5!6&vb6chs.dll"
00401625 E8 F0FFFFFF call   0040161A   ; jmp 到 MSVBVM60.ThunRTMain
0040162A 0000          add     byte ptr [eax], al
0040162C 0000          add     byte ptr [eax], al
0040162E 0000          add     byte ptr [eax], al
00401630 3000          xor     byte ptr [eax], al
00401632 0000          add     byte ptr [eax], al
00401634 3800          cmp     byte ptr [eax], al
00401636 0000          add     byte ptr [eax], al
00401638 0000          add     byte ptr [eax], al
0040163A 0000          add     byte ptr [eax], al
0040163C 03B0 888AA4EE add     esi, dword ptr [eax+EEA48A88]
因为被压进去了东西,这里可以看到00401620这行告诉我们,这是一个VB编写的程序,我们就在00401620这行dump出来就行啦,朋友们,并不是所有的脱壳都非要找个“push ebp”才肯干休的哟,这里就是入口点了啦。Dump出来之后查壳,发现PEID顺利地检测出了“Microsoft Visual Basic 5.0 / 6.0”的样子,但是程序无法运行。老方法,用ImportREC.exe修复输入表(如图7)。


图7

再看修复好的程序,恩可以运行。好了,这个WinUpack的壳就算成功脱掉了呵。

3、Asprotect v1.2- 2.3 (非变形)
Asprotect 绝对是壳界的一位大哥,光那加壳思路就被很多其他的壳所参考借用。不过现在也不能算是强壳了哈,曾经看到网上有高手做的脱壳脚本流传,自己试了下,感觉不好用,脱出来连修复输入表之后都没有用,说是内存不能为“read”,狂晕。下面我来讲下这个壳的手工脱法。
首先自然是要隐藏OD啦,这个就不要我讲了,Asprotect一般都会侦查调试器是否启动的。载入后会看到如下图的代码,这个就是典型的Asprotect特征码,先是push一个地址进栈,然后一个call,两个retn,那个call载的正好就是第二个retn的地址,(*^__^*) 嘻嘻……(如图8)。OD设置下调试选项,除了CPU的异常其他异常全部忽略掉,这样才能成功,如果忽略CPU异常的话就只能脱低版本的 Asprotect了。


图8

这个壳不能用ESP定律,那么就用另一种常见的方法,最后一次异常法来试试看,对于这个test.exe我用 Shift+F9来跑,不是像前面一样用的F8单步跑,Shift+F9跑了15次后,这个程序自己运行起来,窗体出现了。我用OD重新载入,Shift+F9跑了14次之后,顺利来到如下的代码处:
复制内容到剪贴板
代码:
003F2CCE 64:8920 mov     dword ptr fs:[eax], esp
003F2CD1 3100    xor     dword ptr [eax], eax //OD运行停在这里
003F2CD3 64:8F05 0000000>pop     dword ptr fs:[0]
003F2CDA 58              pop     eax
003F2CDB 833D 7C6D3F00 0>cmp     dword ptr [3F6D7C], 0
003F2CE2 74 14           je    short 003F2CF8
003F2CE4 6A 0C           push 0C
003F2CE6 B9 7C6D3F00     mov     ecx, 3F6D7C
003F2CEB 8D45 F8       lea     eax, dword ptr [ebp-8]
003F2CEE BA 04000000     mov     edx, 4
003F2CF3 E8 54E1FFFF     call 003F0E4C
003F2CF8 FF75 FC       push dword ptr [ebp-4]
003F2CFB FF75 F8       push dword ptr [ebp-8]
003F2CFE 8B45 F4       mov     eax, dword ptr [ebp-C]
003F2D01 8338 00       cmp     dword ptr [eax], 0
003F2D04 74 02           je    short 003F2D08
003F2D06 FF30          push dword ptr [eax]
003F2D08 FF75 F0       push dword ptr [ebp-10]
003F2D0B FF75 EC       push dword ptr [ebp-14]
003F2D0E C3              retn
003F2D0F 5F              pop     edi
003F2D10 5E              pop     esi
OD停在了003F2CD1这一行,如果再跑一下的话,程序窗体就要出来了,不能再按shift+F9了,往下看代码,003F2D0E这里有个retn返回上一级的。我就在在这行下F2断点,按shift+F9放心大胆地再跑下,被断点断住了,很好,就是要这个效果。看看右下角的堆栈窗口,是这样的饿(如图9):
复制内容到剪贴板
代码:
0012FF58 0000000C
0012FF5C 00982044
0012FF60 00400000   jiake.00400000
0012FF64 4C5C2107
0012FF68 0012FFA4
0012FF6C 003E0000

图9

我们设下硬件中断,hr 0012FFA4,就是jiake.00400000 下面的第二行的地址。基本上在所有的机子上都是设在这个地址断的,不会因电脑的不同而下断地址不同的。OK,按F9跑程序,应该会被断下来在一个jmp的跳转上面,我这里被断下来的一行代码是
0098285E   - FFE0   jmp     eax ; jiake.0040256F。接下来,取消硬件断点,F8单步一下,看见OEP出来了,就在OEP上dump出来即可。脱出来之后一般都有很多无效指针,用ImportREC的“跟踪级别1(反汇编)”就能基本恢复出来了,最后rebuid PE一下吧,应该体积会小30%的样子。这样这个壳就完美地脱掉了啦。


4、Armadillo 3.78 - 4.xx
穿山甲是一款很强大的壳,尤其发展到了3.78版本之后更厉害,目前市面上的自动脱
壳机好像是有一款叫dilloDIE的,我没有使用过,所以对其脱壳效果如何我也不敢妄下定论,下面我给大家讲下这个强壳3.78版本后的手工脱法吧。
仍然,用挂了invisible.dll隐藏插件的OD载入加壳的程序,调试设置中勾上忽略所有异常,如果OD没有隐藏好的话载入后会看到如下的代码,不能来到入口点:
复制内容到剪贴板
代码:
0045F5C3 F0: prefix lock:
0045F5C4 F0:C7   ???                   ; 未知命令
0045F5C6 C8 64678F    enter 6764, 8F
0045F5CA 06              push es
当然你也可以手工为OD添加要忽略异常的地址,程序成功载入之后入口点附近的情况应该是这样的:
00456000 >   60              pushad
00456001 E8 00000000     call 00456006
00456006 5D              pop     ebp
00456007 50              push eax
00456008 51              push ecx
00456009 0FCA          bswap edx
0045600B F7D2          not     edx
0045600D 9C              pushfd
我们下硬件执行断点 HE GetModuleHandleA+5 ,为什么要下这个呢?因为穿山甲的编写机制,会在开头获取自身的实例句柄,以便于下一步的操作,如果用bp断可能会失败,所以我们用HE断。按下 shift+F9让程序跑起来,发现离开了程序的领空,到kernel32.dll里面去了:
复制内容到剪贴板
代码:
7C80B6C6 837D 08 00    cmp     dword ptr [ebp+8], 0 //停在这里
7C80B6CA 74 18           je    short 7C80B6E4
7C80B6CC FF75 08       push dword ptr [ebp+8]
7C80B6CF E8 C0290000     call 7C80E094
7C80B6D4 85C0          test eax, eax
7C80B6D6 74 08           je    short 7C80B6E0
7C80B6D8 FF70 04       push dword ptr [eax+4]
7C80B6DB E8 7D2D0000     call GetModuleHandleW
7C80B6E0 5D              pop     ebp
7C80B6E1 C2 0400       retn 4
7C80B6E4 64:A1 18000000   mov     eax, dword ptr fs:[18]
7C80B6EA 8B40 30       mov     eax, dword ptr [eax+30]
7C80B6ED 8B40 08       mov     eax, dword ptr [eax+8]
7C80B6F0   ^ EB EE           jmp     short 7C80B6E0
7C80B6F2 90              nop
7C80B6F3 90              nop
7C80B6F4 90              nop
我们看右下角的堆栈窗口,代码如下:
复制内容到剪贴板
代码:
0012EAD8   /0012EB10
0012EADC   |77C079B2   返回到 77C079B2 来自 kernel32.GetModuleHandleA
0012EAE0   |77BE31BC   ASCII "kernel32.dll"
0012EAE4   |77C31A70
0012EAE8   |00000000
这个时候说明还不行,我们一直不停地按shift+F9跑,注意看堆栈的变化,每按一次shift+F9,堆栈的数据就会变一次的。我按了3次,发现堆栈的数据变成了如图10的样子:


图10

“00129508   |00ADCEB8   ASCII "VirtualFree"”这一行出现了,说明有第一个小型的曙光出现了(其实这个是所谓的Magic Jump,CPU有明显的迟缓)。我们再按一下shift+F9看看,应该会看到如图11的情况了:



图11

这个时候堆栈的内容是这样的:
复制内容到剪贴板
代码:
00129260   /00129500
00129264   |00AB5CE1   返回到 00AB5CE1 来自 kernel32.GetModuleHandleA
00129268   |001293B4   ASCII "kernel32.dll"
0012926C   |00000000
00129270   |EC440000
00129274   |92960012
OK,我们返回程序的领空,Alt+F9,会看到这样的代码:
复制内容到剪贴板
代码:
00AB5CE1 8B0D AC40AE00 mov     ecx, dword ptr [AE40AC]//停在这一行
00AB5CE1 8B0D AC40AE00 mov     ecx, dword ptr [AE40AC]
00AB5CE7 89040E       mov     dword ptr [esi+ecx], eax
00AB5CEA A1 AC40AE00     mov     eax, dword ptr [AE40AC]
00AB5CEF 391C06       cmp     dword ptr [esi+eax], ebx
00AB5CF2 75 16           jnz     short 00AB5D0A
00AB5CF4 8D85 B4FEFFFF lea     eax, dword ptr [ebp-14C]
00AB5CFA 50              push eax
00AB5CFB FF15 BC62AD00 call dword ptr [AD62BC]             ; kernel32.LoadLibraryA
00AB5D01 8B0D AC40AE00 mov     ecx, dword ptr [AE40AC]
00AB5D07 89040E       mov     dword ptr [esi+ecx], eax
00AB5D0A A1 AC40AE00     mov     eax, dword ptr [AE40AC]
00AB5D0F 391C06       cmp     dword ptr [esi+eax], ebx
00AB5D12 0F84 2F010000 je    00AB5E47 //要改这行!!!
00AB5D18 33C9          xor     ecx, ecx[code]

现在删除掉刚刚下的那个硬件执行断点,我们向下翻代码,我们要找一个未能实现的灰色大跳,一般不出意外的话是往下的第一个je那里,中间会经过一个灰色小跳 jnz的,我们这里也就是00AB5D12这行啦,把je改为jmp让它的跳转实现躲过加密检测。跳转实现后,别忙着运行,点上面的“M”按钮进内存镜像,然后在.text上面进下内存断点,右击这行-“设置内存访问断点”。(如图12)
图12
断点下完之后,回去shift+F9跑一下,程序的内存被断下来了。来到这里:
[code]00AD0F4A 8900          mov     dword ptr [eax], eax   //停在这里
00AD0F4C 90              nop
00AD0F4D E9 57010000     jmp     00AD10A9
00AD0F52 FF75 EC       push dword ptr [ebp-14]
00AD0F55 E8 F5E7FFFF     call 00ACF74F
00AD0F5A 59              pop     ecx
00AD0F5B C3              retn
00AD0F5C 8B65 E8       mov     esp, dword ptr [ebp-18]
00AD0F5F 70 07           jo    short 00AD0F68
00AD0F61 7C 03           jl    short 00AD0F66
00AD0F63 EB 05           jmp     short 00AD0F6A
00AD0F65 E8 74FBEBF9     call FA990ADE
00AD0F6A A1 14A3AE00     mov     eax, dword ptr [AEA314]
00AD0F6F 85C0          test eax, eax
00AD0F71 0F84 0C010000 je    00AD1083
00AD0F77 8B50 04       mov     edx, dword ptr [eax+4]
00AD0F7A 8B0D D8A3AE00 mov     ecx, dword ptr [AEA3D8]       ; PortScan.00400000    //看见基地址了吧
00AD0F80 3BD1          cmp     edx, ecx
00AD0F82 8B1D DCA3AE00 mov     ebx, dword ptr [AEA3DC]       ; PortScan.004B6000
接下来进内存镜像把刚刚的内存断点删除掉,再回去。一路F8往下单步直到看见一行内容为“Call ECX”的时候停下来(途中会经过一到两个call,不要跟入),用F7跟入,OK,发现OEP出现了,dump出来即可。接下来就是Import REC修复指针了,当然,这是后话……
阅读全文
类别:黑客编程 查看评论]]> 2009/11/22 09:02 A.M. http://hi.baidu.com/gtomp/blog/item/bc92927e9799a6320cd7dac1.html <![CDATA[浅谈几款中强壳的手工脱法 一]]> 作者:tr0j4n   这篇文章发表好一阵子了,一直捏在手里没发,是我当时初学脱壳的一点笔记,现在回头看去,仍有一些稚嫩,请勿见笑当时的我

前一阵子忙着泡坛子,发现一些坛子里面的朋友在不断地发求助帖,询问一些中强保护壳的手工脱法,工具有时版本较低,而且不如手工效果完美。于是我就把一些问题整合了下,写了这篇文章,希望对大家有点帮助,本文谈到了一些壳的手工脱法,以前的杂志里面提到的也比较少,像UPX还有Aspack这样的弱壳就不属本文的讨论范畴了。这里我用到的东西是OllyICE(带invisible.dll隐藏插件和OllyDump脱壳插件),PEID(查壳工具),ImportREC.exe(输入表修复)。
1、nSpack V2.x

图1

这是一个US-ASCII的解密工具,一般我都用它来进行网马的解密工作(如图1)。首先,OD载入,来到如下代码处:
复制内容到剪贴板
代码:
00492554 >   9C              pushfd
00492555 60              pushad
00492556 E8 00000000     call 0049255B
0049255B 5D              pop     ebp
0049255C B8 07000000     mov     eax, 7
00492561 2BE8          sub     ebp, eax
00492563 8DB5 F8FBFFFF lea     esi, dword ptr [ebp-408]
00492569 8A06          mov     al, byte ptr [esi]
0049256B 3C 00           cmp     al, 0
0049256D 74 12           je    short 00492581
在00492556这里有一个call,不怕它,它不像Aspack,一开头第二行就会遇到一个call,一定要飞过那个call才好继续往下走,这里没关系,一直F8向下,不必害怕,所有的跳转基本上都是向下或是未实现的跳转,来到这里,小心下:
复制内容到剪贴板
代码:
004925E7 /75 0A           jnz     short 004925F3
004925E9 |83C7 04       add     edi, 4
004925EC |B9 00000000     mov     ecx, 0
004925F1 |EB 16           jmp     short 00492609
004925F3 \B9 01000000     mov     ecx, 1
004925F8 033B          add     edi, dword ptr [ebx]
004925E7这个jnz是死跳,没有必要害怕,还是往下走,但是到了004925F1就要注意了,这个无条件跳转不光是可以实现的,而且跨度挺大,我们让它跳下去,又来到了这里:
复制内容到剪贴板
代码:
00492609 57              push edi                            ; Ascii.00492E88
0049260A 51              push ecx
0049260B 52              push edx
0049260C 53              push ebx   //一连串入栈
0049260D FFB5 60FCFFFF push dword ptr [ebp-3A0]
00492613 FFB5 5CFCFFFF push dword ptr [ebp-3A4]
00492619 8BD6          mov     edx, esi
0049261B 8BCF          mov     ecx, edi
0049261D 8B85 DCFBFFFF mov     eax, dword ptr [ebp-424]
00492623 05 A9050000     add     eax, 5A9
00492628 FFD0          call eax //这里有明显停顿
0049262A 5B              pop     ebx
0049262B 5A              pop     edx
0049262C 59              pop     ecx     //一连串的出栈
0049262D 5F              pop     edi
0049262E 83F9 00       cmp     ecx, 0
00492631 74 05           je    short 00492638
00492633 83C3 08       add     ebx, 8
00492636   ^ EB C5           jmp     short 004925FD //这个跳转很厉害,可实现!
00492638 68 00800000     push 8000    //断点-条件运行到所选
0049263D 6A 00           push 0
0049263F FFB5 DCFBFFFF push dword ptr [ebp-424]
00492645 FF95 60FCFFFF call dword ptr [ebp-3A0]
0049264B 8DB5 E4FBFFFF lea     esi, dword ptr [ebp-41C]
00492651 8B4E 08       mov     ecx, dword ptr [esi+8]
00492654 8D56 10       lea     edx, dword ptr [esi+10]
00492657 8B36          mov     esi, dword ptr [esi]
00492659 8BFE          mov     edi, esi
0049265B 83F9 00       cmp     ecx, 0
0049265E 74 3F           je    short 0049269F
00492660 8A07          mov     al, byte ptr [edi]
00492662 47              inc     edi
00492663 2C E8           sub     al, 0E8
00492665 3C 01           cmp     al, 1
00492667   ^ 77 F7           ja short 00492660     //这个又是可以实现的,不能让它跳!
00492669 8B07          mov     eax, dword ptr [edi] //断点-条件运行到所选
0049266B 807A 01 00    cmp     byte ptr [edx+1], 0
0049266F 74 14           je    short 00492685
00492671 8A1A          mov     bl, byte ptr [edx]
00492673 381F          cmp     byte ptr [edi], bl
00492675   ^ 75 E9           jnz     short 00492660       //死跳,不怕
00492677 8A5F 04       mov     bl, byte ptr [edi+4]
0049267A 66:C1E8 08    shr     ax, 8
0049267E C1C0 10       rol     eax, 10
00492681 86C4          xchg ah, al
00492683 EB 0A           jmp     short 0049268F     //直接跳到下面
00492685 8A5F 04       mov     bl, byte ptr [edi+4]
00492688 86C4          xchg ah, al
0049268A C1C0 10       rol     eax, 10
0049268D 86C4          xchg ah, al
0049268F 2BC7          sub     eax, edi    //由上面跳过来
00492691 03C6          add     eax, esi
00492693 8907          mov     dword ptr [edi], eax
00492695 83C7 05       add     edi, 5
00492698 80EB E8       sub     bl, 0E8
0049269B 8BC3          mov     eax, ebx
0049269D   ^ E2 C6           loopd short 00492665 //当心!循环!
0049269F E8 3A010000     call 004927DE     //断点-条件运行到所选
004926A4 8D8D F8FBFFFF lea     ecx, dword ptr [ebp-408]
004926AA 8B41 08       mov     eax, dword ptr [ecx+8]
004926AD 83F8 00       cmp     eax, 0
004926B0 0F84 81000000 je 00492737 //很厉害的大跳转,过了循环才能看到
004926B6 8BF2          mov     esi, edx
004926B8 2B71 10       sub     esi, dword ptr [ecx+10]
00492636这行跳转不能让它跳上去,要在下面那行00492638按下F4,同样,00492667也是可实现的上跳,在下面的 00492669上按F4,到了0049269D当心下,有个loopd,直接在下面那个call上按F4,004926B0处的大跳转带我们来到下面:
复制内容到剪贴板
代码:
00492737 8DB5 B4FBFFFF lea     esi, dword ptr [ebp-44C]
0049273D 8B16          mov     edx, dword ptr [esi]
0049273F 8DB5 10FCFFFF lea     esi, dword ptr [ebp-3F0]
00492745 8A06          mov     al, byte ptr [esi]
00492747 3C 01           cmp     al, 1
00492749 75 3F           jnz     short 0049278A
0049274B 0356 04       add     edx, dword ptr [esi+4]
0049274E 56              push esi
0049274F 52              push edx
00492750 56              push esi
00492751 6A 04           push 4
00492753 68 00010000     push 100
00492758 52              push edx
00492759 FF95 58FCFFFF call dword ptr [ebp-3A8]
0049275F 5F              pop     edi
00492760 5E              pop     esi
00492761 83F8 01       cmp     eax, 1
00492764 0F85 BD010000 jnz     00492927
0049276A 83C6 08       add     esi, 8
0049276D B9 08000000     mov     ecx, 8
00492772 F3:A4           rep     movs byte ptr es:[edi], byte ptr>
00492774 83EE 0C       sub     esi, 0C
00492777 83EF 08       sub     edi, 8
0049277A 56              push esi
0049277B FF76 FC       push dword ptr [esi-4]
0049277E 68 00010000     push 100
00492783 57              push edi
00492784 FF95 58FCFFFF call dword ptr [ebp-3A8]
0049278A 55              push ebp
0049278B 5B              pop     ebx

图2

一路向下,非常爽,我看到了0049278A这一行,当时我就以为这个是真的ebp了(如图2),直接在这行上面 dump,可是脱出来的东西Ascii2.exe大是变大了(231KVB到745KB),可peid却说什么也没有发现,很晕,于是我重新载入 Ascii2.exe继续向下跑:
复制内容到剪贴板
代码:
004927BA 5A              pop     edx
004927BB 5B              pop     ebx
004927BC 59              pop     ecx
004927BD 5E              pop     esi
004927BE 83C3 0C       add     ebx, 0C
004927C1   ^ E2 E1           loopd short 004927A4 //这个循环不会实现,没事
004927C3 B8 00000000     mov     eax, 0
004927C8 83F8 00       cmp     eax, 0
004927CB 74 0A           je    short 004927D7
004927CD 61              popad
004927CE 9D              popfd
004927CF B8 01000000     mov     eax, 1
004927D4 C2 0C00       retn 0C
004927D7 61              popad //曙光出现了!
004927D8 9D              popfd
004927D9   - E9 E225FCFF     jmp     00454DC0
004927DE 8BB5 ACFBFFFF mov     esi, dword ptr [ebp-454]
载入Ascii2.exe后跑了没多久,就看到了004927D7这行居然有个popad!这个和UPX一个德行,记得我以前搞UPX手工脱壳的时候只要查找popad命令就可以了,老方法,在004927D8这行“断点”→“条件运行到所选”,然后004927D9的那个跨区段的jmp会带我们来到真正的入口点(如图3)。


图3

别看这边都是ASCII码的表示,其实显式的OEP是可以通过OD的代码分析功能得出的,我直接在00454DC0上面dump出一个Ascii3.exe来,忽忽,脱壳成功了(如图4):


图4

2、WinUpack 0.93
WinUpack是国产的一款比较猛的壳,可以检测调试器,查区段都不好查的,有时甚至
用一些版本的PEID查壳还会出现PEID崩溃的情景哦。所以我开始提到的那个OD的invisible.dll插件就非常有用了,这个插件可以把OD的 caption变成“ICEODBG”,躲过侦查壳的调试器检测,当时是看雪的老大kanxue向我推荐的,非常受用。我下面用的这个PEID是修改过的(如图5)。


图5

首先OD载入,不出意外OD就会提示你32位可执行文件格式错误或是格式未知和无
法在内存中分配,这是很正常的现象,不管它继续载入。载入完毕后一般会看到如下的代码:
复制内容到剪贴板
代码:
00401018 >   BE B0114000     mov     esi, 004011B0
0040101D AD              lods dword ptr [esi]
0040101E 50              push eax
0040101F FF76 34       push dword ptr [esi+34]
00401022 EB 7C           jmp     short 004010A0
00401024 48              dec     eax
00401025 010F          add     dword ptr [edi], ecx
这个第二行比较关键,定义了一个esi指针,这个esi的指针里面的东西我们来看下吧,按一下F8,程序顺利运行到了第二行,这时可以看到OD中是如下情况,显示内容为ds:[esi]=[004011B0]=00401620(如图6):


图6
阅读全文
类别:黑客编程 查看评论]]> 2009/11/22 09:01 A.M. http://hi.baidu.com/gtomp/blog/item/4d58d0d34a35d2d5a9ec9ac1.html <![CDATA[食堂打零工的MM 清纯可人]]> 食堂打零工的,很…M 很清纯吧……时食堂里 最M的… 如果想知道有多可人…用我同学的一句话来形容她吧!

我看到她的眼睛时,我的魂儿~ 都被勾走了…… 我对她 可没有兴趣哦 大家别看我……别鄙视我…我真的没兴趣……

阅读全文
类别:站长心声 查看评论]]> 2009/11/21 03:37 P.M. http://hi.baidu.com/gtomp/blog/item/3a4f14d3876d770a3af3cf84.html <![CDATA[在下一场暴雪吧!]]>
类别:站长心声 查看评论]]> 2009/11/14 03:34 P.M. http://hi.baidu.com/gtomp/blog/item/529ff01bee02b6dfac6e75e6.html <![CDATA[啊呀呀呀呀呀 ……学校停课了!暴风雪]]>
啊呀呀呀呀呀 ……学校停课了!暴风雪!百年难见的 暴雪 学校停课了……

看下面图片:真实:当我一脚……踏进雪里……出不来了…… 有我的半个膝盖这么高……郁闷死

阅读全文
类别:站长心声 查看评论]]> 2009/11/12 09:17 A.M. http://hi.baidu.com/gtomp/blog/item/e50147387023372996ddd8e4.html