-
-
[旧帖] [原创][申请邀请码]OllyDbg小小的DIY 0.00雪花
-
发表于: 2010-12-28 23:49
-
1 今天看到版主发邀请码,我也好想要...
2 好,闲言少叙,接下来我们进入正题。
3 一切的一切还得从OD开始说起,话说有一插件,该插件会在OD的窗口上添加一个名为“工具”的菜单项,可以添加程序和文件夹的快捷方式,从而达到快速启动程序和打开文件夹的功能。
4 说到这里大家应该知道我指的是哪个插件吧?呃,那插件在我的机器上叫“IDAFicator.dll”...语言组织能力不行,惭愧,忘包涵。
5 不得不说,这个插件确实带来许多方便。但问题来了(对于我来说确实是个问题),我一般喜欢把“去程序保护”和“去程序限制”之类的工具都放在OD里的tools子目录下,而该插件保存的路径是以绝对路径方式存在的(比如“D:\profiles\OllyICE\tools\FastScanner\FastScanner.exe”)。
6 毫无疑问,如果移动OD的目录也就无法打开那些快捷方式了。
7 我尝试修改了该插件的配置文件,即OD的配置文件(一般为“ollydbg.ini”),打开后找到“Plugin IDAFicator Paths”节,此处保存的就是那些快捷方式的绝对路径。
8 将那些路径修改为相对路径,如“tools\LordPE\LordPE.exe”。
9 打开OD,发现所有程序和文件夹都可以正常打开,窃喜...
10 数日后,载入某需要“去限制”的程序,如往常一般单击“工具”,本欲打开tools目录下的一科学计算器,不过硬(读en,四声)是打不开。
11 测试得,如果直接运行OD可以打开工具,如果是通过关联资源管理器从右键打开的执行文件则不行。
12 也就是说,如果采用绝对路径(目标程序和文件夹在OD目录下)就不能移动OD文件夹的位置,如果采用相对路径就不能通过资源管理器的右键打开PE文件。
13 毫无疑问,得想个办法才行,不然,那可就麻烦了。要问有多麻烦?要多麻烦有多麻烦...
14 首先想到的是修改那插件dll,不过OD载入瞅了瞅,唉,技术有限,不知该从何处下手。
15 那么,我们就将魔爪伸向OD吧,嘿嘿...
16 呃,现在才算是真正的进入正题了吧。
17 其它的浮云先不管,首先,运行程序的话,先整个WinExec函数吧。
18 使用OD载入OD后,摁下Ctrl+N键,打开了输入输出表,寻找WinExec,没有...
19 好吧,那么我们运行LordPE,单击“PE编辑器”按钮,选择OD,接着单击“目录”按钮,出现“目录表”窗口,然后单击输入表旁边的“..”按钮。
20 接着添加导入表,dll为“kernel32.dll”,api为“WinExec”。
21 LordPE增加的新的api信息在“.Silvana”区段里面,接下来会用到该区段。
22 保存(注意备份),OD载入,Ctrl+N,发现WinExec出来了,记下该地址。
23 如果需要运行程序,文件名是必须的。毫无疑问,将文件名保存在“ollydbg.ini”里我不会...
24 那么,就保存在OD程序本身里面吧。
25 在OD窗口里摁下Alt+M键,找到“.Silvana”区段,双击。
26 我们可以看到,后面有好多好多好多的0,唉,不知道这里能不能乱修改,试试吧...
27 随便(比如00583190)在哪个位置输入个命令(比如"calc、cmd"),并记下该命令的起始地址。
28 接着,在OD的反汇编窗口里修改目标OD的代码,据说此处叫做OEP。
29 WinExec函数原型:UINT Win Exec(LPCSTR lpCmdLine, UINT uCmdShow); // WinExec支持相对路径,调用时先push右边的参数。
30 在OEP处第一条指令改为“push SW_SHOW”,不得不说,OD很贴心。
31 在第二行修改指令为“push 00583190”,毫无疑问,这个就是第27行输入命令的地址,即要运行的程序。
32 第三行,修改为“call 00583017”,毫无疑问,后面的值为第22行记下的地址。
33 好吧,保存更改...提示无法保存。
34 不得不说,理想很丰满,现实很骨感。
35 测试失败,只好另觅它法。
36 我们将目标OD用HEdit打开(十六进制编辑程序),搜索“WinExec”,直接来到文件最后面,发觉后面有14个字节的“00”,我们利用下看看。
37 在0x140EE7的地方开始输入“63 61 6C 63”(Ascii码转换的十六进制数),即“calc”,保存。
38 使用OD载入目标OD,按照第25行的方法查看“.Silvana”区段数据,发现多了“calc”,记下该字符串的起始地址(如5830E7),不得不说,就这四个字竟然这么费劲,不知有没什么简单方法。
39 参照第30,32行修改程序指令,将第二行代码修改为“push 5830E7”,即第38行我们找到的字符串起始地址。
40 测试运行出错,原来是用LordPE增加的WinExec用不了,此处引用第34行的感叹。
41 话说OD里还有一插件...额,这个不多,几句话,文件名“APIFinder.dll”,查找API地址的,直接查找“kernel32.dll”的"WinExec"的地址(我找到的是7C862AED),记下该地址。
42 将第三行代码修改为“call 7C862AED”,运行,Windows的计算器终于出来了...不得不说,我的语言组织能力还是很差。
这样就可用OD运行一个程序了,毫无疑问,如果按以上的步骤做,那目标OD就报废了。
或许可以用ResHacker打开OD,修改菜单资源,比如在那个帮助菜单下多加几个菜单项,然后自定义各个菜单项的菜单ID,根据COMMOND消息执行相应的程序,毫无疑问,我不会(不会你还来申请邀请码?我就要,就要...)。呵呵,纵然这次拿不到,还有下次。
这,其它的以后再捣鼓吧。技术有限,忘高手莫笑。最后想说的是,神马快速启动,全都是浮云,早点睡觉才是王道...
呵呵,提前祝大家元旦快乐。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
学习了,你都有163kx了,为什么不买一个呢?
|
|
|
|
|
|
呵呵,因为我比较吝啬...
|
|
|
我顶
|
|
|
|
|
|
|
|
|
我顶
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
楼主你无情地打碎了我想当一个菜鸟的梦.
|
|
|
那就是 楚 留 湘
|
