[原创]腾讯2010竞赛第三阶段题目思路+代码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]腾讯2010竞赛第三阶段题目思路+代码

发表于: 2010-11-22 10:18 15417

[原创]腾讯2010竞赛第三阶段题目思路+代码

exile

2010-11-22 10:18

15417

本文使用注入DLL设置硬件断点以及模拟执行指令的方式来记录API调用。流程如下：

1，将EXE自身复制一份，修改入口点和DLL标志，变成xixihaha.dll。
2，将xixihaha.dll注入目标进程。
3，DLL会挂钩以下5个函数：

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

exile.rar （58.94kb，252次下载）

收藏・12

免费・7

支持

最新回复 (21)
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 2 楼第一时间前来膜拜 2010-11-22 10:28 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 3 楼把这5个函数放到内核中挂钩就更完美了，这样就可以防止测试程序使用sysenter指令绕过这几个函数。另外，楼主hook了KiUserExceptionDispatcher，忘记hook ZwContinue了。这个答案居然才得了第三真的挺亏的。另外, "xixihaha"这个名字好熟悉啊......... 2010-11-22 11:11 0
Esper 雪币： 279 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 31 粉丝 0 关注私信	Esper 4 楼做的真好阿, 膜拜 2010-11-22 11:11 0
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	StudyRush 3 5 楼纯粹的膜拜，向大牛学习。 2010-11-22 11:19 0
wuwenyao 雪币： 334 活跃值： (151) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 25 粉丝 0 关注私信	wuwenyao 2 6 楼来膜拜的，下载看看如何模拟指令运行和异常处理 2010-11-22 13:09 0
qwangwei 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	qwangwei 7 楼牛人，看不懂！！。。。 2010-11-23 10:54 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 8 楼果然强..不过个人不喜欢使用喜用系统API.能手动实现的全部自己实现..竞赛什么的完全没兴趣..没RMB绝对不乱搞- -!`.. 2010-11-23 11:10 0
djxh 雪币： 1685 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 9 楼这个牛B,下代码学习.感谢.. 2010-11-23 11:18 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 10 楼好强大的代码 2010-11-23 13:19 0
aiie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	aiie 11 楼学习思路... 2010-11-23 17:31 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 12 楼前来学习+膜拜！ 2010-11-23 19:29 0
cumac 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	cumac 13 楼收下了,牛就是牛啊 2010-11-28 18:53 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 14 楼向大牛学习。 2010-11-29 20:51 0
ninymay 雪币： 149 活跃值： (101) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 217 粉丝 2 关注私信	ninymay 2 15 楼大多数写这类文章的高人,都只放片断源码,初学者往往无法顺利完成编程, 也有放了完整源码,但不讲编译条件,程度不好的还是无法完成,这样的学习效果有限, 像楼主这样把整个project发上来的真的很少,向楼主致敬 2011-1-12 14:43 0
wesenwesen 雪币： 231 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 58 粉丝 0 关注私信	wesenwesen 16 楼运行了一下，在创建进程哪里可住了，然后DLL住进去没反应？ 2011-1-13 00:28 0
哪天会下雨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	哪天会下雨 17 楼神秘人果然厉害 2011-1-13 02:46 0
lyricC 雪币： 38 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	lyricC 18 楼腾讯2010竞赛第三阶段题目思路+代码感谢 2011-1-13 10:28 0
wesenwesen 雪币： 231 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 58 粉丝 0 关注私信	wesenwesen 19 楼大伙在跑代码的时候能跑通吗？我的跑不通 2011-1-16 00:26 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 20 楼顶。。。楼主，这个很不错 2011-1-16 12:05 0
chinahanwu 雪币： 1231 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	chinahanwu 21 楼其中有太多的东西需要慢慢消化，先感谢LZ一下，顺便问一句：HOOK的时候使用PUSH RET指令返回真实DLL领空，而不是直接用JMP，原因是怕被检测到JMP吧？ 2011-1-20 10:17 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 22 楼学习+膜拜！ 2011-1-21 10:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

exile

发帖

1266

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 2 楼第一时间前来膜拜 2010-11-22 10:28 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 3 楼把这5个函数放到内核中挂钩就更完美了，这样就可以防止测试程序使用sysenter指令绕过这几个函数。另外，楼主hook了KiUserExceptionDispatcher，忘记hook ZwContinue了。这个答案居然才得了第三真的挺亏的。另外, "xixihaha"这个名字好熟悉啊......... 2010-11-22 11:11 0
Esper 雪币： 279 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 31 粉丝 0 关注私信	Esper 4 楼做的真好阿, 膜拜 2010-11-22 11:11 0
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	StudyRush 3 5 楼纯粹的膜拜，向大牛学习。 2010-11-22 11:19 0
wuwenyao 雪币： 334 活跃值： (151) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 25 粉丝 0 关注私信	wuwenyao 2 6 楼来膜拜的，下载看看如何模拟指令运行和异常处理 2010-11-22 13:09 0
qwangwei 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	qwangwei 7 楼牛人，看不懂！！。。。 2010-11-23 10:54 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 8 楼果然强..不过个人不喜欢使用喜用系统API.能手动实现的全部自己实现..竞赛什么的完全没兴趣..没RMB绝对不乱搞- -!`.. 2010-11-23 11:10 0
djxh 雪币： 1685 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 9 楼这个牛B,下代码学习.感谢.. 2010-11-23 11:18 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 10 楼好强大的代码 2010-11-23 13:19 0
aiie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	aiie 11 楼学习思路... 2010-11-23 17:31 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 12 楼前来学习+膜拜！ 2010-11-23 19:29 0
cumac 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	cumac 13 楼收下了,牛就是牛啊 2010-11-28 18:53 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 14 楼向大牛学习。 2010-11-29 20:51 0
ninymay 雪币： 149 活跃值： (101) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 217 粉丝 2 关注私信	ninymay 2 15 楼大多数写这类文章的高人,都只放片断源码,初学者往往无法顺利完成编程, 也有放了完整源码,但不讲编译条件,程度不好的还是无法完成,这样的学习效果有限, 像楼主这样把整个project发上来的真的很少,向楼主致敬 2011-1-12 14:43 0
wesenwesen 雪币： 231 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 58 粉丝 0 关注私信	wesenwesen 16 楼运行了一下，在创建进程哪里可住了，然后DLL住进去没反应？ 2011-1-13 00:28 0
哪天会下雨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	哪天会下雨 17 楼神秘人果然厉害 2011-1-13 02:46 0
lyricC 雪币： 38 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	lyricC 18 楼腾讯2010竞赛第三阶段题目思路+代码感谢 2011-1-13 10:28 0
wesenwesen 雪币： 231 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 58 粉丝 0 关注私信	wesenwesen 19 楼大伙在跑代码的时候能跑通吗？我的跑不通 2011-1-16 00:26 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 20 楼顶。。。楼主，这个很不错 2011-1-16 12:05 0
chinahanwu 雪币： 1231 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	chinahanwu 21 楼其中有太多的东西需要慢慢消化，先感谢LZ一下，顺便问一句：HOOK的时候使用PUSH RET指令返回真实DLL领空，而不是直接用JMP，原因是怕被检测到JMP吧？ 2011-1-20 10:17 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 22 楼学习+膜拜！ 2011-1-21 10:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复