[原创]发个好玩的东西给大家-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]发个好玩的东西给大家

发表于: 2011-2-21 23:46 8311

[原创]发个好玩的东西给大家

邓韬

2011-2-21 23:46

8311

呵呵，写了个好玩的东西，给大家玩，用OD打开，动态单步跟踪，千万别用IDA，IDA打开就露馅了，源代码自己看IDA里面，绝对不是手写PE，学过的人一定知道这个的。算个小反调试吧，OD打开只看见两个MessageBox，单步跟踪确调用了5次，求学过的人解密

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

1.zip （0.41kb，32次下载）

收藏・1

免费・0

支持

最新回复 (19)
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 2 楼稍加改动。给程序加一个打开网页的功能。上传的附件： 2.rar （0.42kb，10次下载） 2011-2-22 00:06 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼郁闷，不是叫你修改，是叫你用OD动态单步跟踪，看他的调用方式，还看下区段有几个，在看哈哥们你修改的,空间不足造成的上传的附件： QQ拼音截图未命名.jpg （96.12kb，248次下载） 2011-2-22 00:10 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 4 楼 00401000 . 31 39 38 37 0>ascii "1987",0 00401005 . 64 64 73 6F 6>ascii "ddsoft",0 0040100C 00 db 00 0040100D 00 db 00 0040100E 00 db 00 0040100F 00 db 00 00401010 . 63 6D 64 20 2>ascii "cmd /c start www" 00401020 . 2E 33 33 76 6>ascii ".33vc.com",0 0040102A > $ 68 10104000 push 2.00401010 ; \|CmdLine = "cmd /c start www.33vc.com" 0040102F . E8 D914467C call kernel32.WinExec ; \WinExec 00401034 . 90 nop 00401035 . EB 21 jmp X2.00401058 00401037 90 nop 00401038 90 nop 00401039 90 nop 0040103A 90 nop 0040103B 90 nop 0040103C 90 nop 0040103D 90 nop 0040103E 90 nop 0040103F 90 nop 00401040 90 nop 00401041 90 nop 00401042 90 nop 00401043 90 nop 00401044 90 nop 00401045 90 nop 00401046 90 nop 00401047 90 nop 00401048 90 nop 00401049 90 nop 0040104A 90 nop 0040104B 90 nop 0040104C 90 nop 0040104D 90 nop 0040104E 90 nop 0040104F 90 nop 00401050 90 nop 00401051 90 nop 00401052 90 nop 00401053 90 nop 00401054 90 nop 00401055 90 nop 00401056 90 nop 00401057 90 nop 00401058 > 6A 00 push 0x0 ; /Style = MB_OK\|MB_APPLMODAL 0040105A . 68 05104000 push 2.00401005 ; \|Title = "ddsoft" 0040105F . 68 00104000 push 2.00401000 ; \|Text = "1987" 00401064 . 6A 00 push 0x0 ; \|hOwner = NULL 00401066 . E8 25000000 call <jmp.&user32.MessageBoxA> ; \MessageBoxA 0040106B . 90 nop 0040106C . 90 nop 0040106D . 90 nop 0040106E . 90 nop 0040106F . 90 nop 00401070 . 6A 00 push 0x0 ; /Style = MB_OK\|MB_APPLMODAL 00401072 . 68 05104000 push 2.00401005 ; \|Title = "ddsoft" 00401077 . 68 00104000 push 2.00401000 ; \|Text = "1987" 0040107C . 6A 00 push 0x0 ; \|hOwner = NULL 0040107E . E8 0D000000 call <jmp.&user32.MessageBoxA> ; \MessageBoxA 00401083 . 90 nop 00401084 . 90 nop 00401085 . 90 nop 00401086 . 90 nop 00401087 . 90 nop 00401088 . 6A 00 push 0x0 ; /ExitCode = 0 0040108A . E8 07000000 call <jmp.&kernel32.ExitProcess> ; \ExitProcess 0040108F 00 db 00 00401090 $- FF25 E8104000 jmp dword ptr ds:[<&user32.MessageBoxA>] ; user32.MessageBoxA 00401096 .- FF25 F0104000 jmp dword ptr ds:[<&kernel32.ExitProcess>; kernel32.ExitProcess 0040109C . D8100000 dd 000010D8 ; 结构 'IMAGE_IMPORT_DESCRIPTOR' 就几行代码没什么好看的。就是个手写PE吧。。 2011-2-22 00:14 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼我没那闲功夫手写 2011-2-22 00:15 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 6 楼那这个东西有什么好玩的呢？4个一样的MessageBox, 我是nop了2个后，然后在nop的那个区域加了个打开网页的功能（用了硬编码，适用于XP sp3) 然后修正OEP，就完工了。你没有仔细看我的帖子。改后的程序，是打开我的网页，然后再弹2个消息框，我改了消息框的内容。 2011-2-22 00:19 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼你的2打开就弹错误，我也是XP3 2011-2-22 00:21 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 8 楼 5个MessageBox,你一定没动态跟踪 2011-2-22 00:22 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 9 楼我是没数，觉得无聊。丢进OD，就几行代码。好玩的地方在哪？ 2011-2-22 00:23 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼郁闷，建议你别学XX了，对这个的实现方式不敢兴趣？我说过，学过的人一定会知道实现方式的 2011-2-22 00:24 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 11 楼说实话，我的PE格式和编程不会比你差。。。建议你先还是说清楚好玩的在哪。。。其他人的手写PE，我就觉得比你这个好玩。 2011-2-22 00:28 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 12 楼我很自然地把你的这个帖子当标题党了。此帖不再回复。 2011-2-22 00:29 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼。。。别心里不平衡了我。我不就拿了个精华吗，如果可以，我叫版主给我去掉，顺便说哈，真的不是手写PE，我不会把时间浪费在手写PE上面的 2011-2-22 00:29 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 14 楼你仔细看看我的帖子，和你说话的态度，不想和你多说了。。。你仍然没有说重点，我只是好奇你说的好玩在哪个地方？？？怎么这么难沟通。 2011-2-22 00:31 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼对不起，大哥！ 2011-2-22 00:32 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 16 楼，你自己用OD单步一便就知道函数怎么调用5次了，你只看见两个MessageBox函数吧 2011-2-22 00:36 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 17 楼我用的OD，载入你的程序，截图如下：5个MessageBox如此明显上传的附件： 1.jpg （99.94kb，115次下载） 2.jpg （92.51kb，111次下载） 2011-2-22 00:46 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 18 楼你的od 有问题吧我可以看到5个messagebox 2011-2-23 14:24 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 19 楼我也可以看到5个。。。。呵呵。。 2011-2-23 15:42 0
dwboy 雪币： 45 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	dwboy 20 楼特地下了一个0修改的OD，还是5个MsgBox，没懂LZ是什么意思 2011-2-23 16:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

邓韬

265

发帖

1670

回帖

520

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 2 楼稍加改动。给程序加一个打开网页的功能。上传的附件： 2.rar （0.42kb，10次下载） 2011-2-22 00:06 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼郁闷，不是叫你修改，是叫你用OD动态单步跟踪，看他的调用方式，还看下区段有几个，在看哈哥们你修改的,空间不足造成的上传的附件： QQ拼音截图未命名.jpg （96.12kb，248次下载） 2011-2-22 00:10 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 4 楼 00401000 . 31 39 38 37 0>ascii "1987",0 00401005 . 64 64 73 6F 6>ascii "ddsoft",0 0040100C 00 db 00 0040100D 00 db 00 0040100E 00 db 00 0040100F 00 db 00 00401010 . 63 6D 64 20 2>ascii "cmd /c start www" 00401020 . 2E 33 33 76 6>ascii ".33vc.com",0 0040102A > $ 68 10104000 push 2.00401010 ; \|CmdLine = "cmd /c start www.33vc.com" 0040102F . E8 D914467C call kernel32.WinExec ; \WinExec 00401034 . 90 nop 00401035 . EB 21 jmp X2.00401058 00401037 90 nop 00401038 90 nop 00401039 90 nop 0040103A 90 nop 0040103B 90 nop 0040103C 90 nop 0040103D 90 nop 0040103E 90 nop 0040103F 90 nop 00401040 90 nop 00401041 90 nop 00401042 90 nop 00401043 90 nop 00401044 90 nop 00401045 90 nop 00401046 90 nop 00401047 90 nop 00401048 90 nop 00401049 90 nop 0040104A 90 nop 0040104B 90 nop 0040104C 90 nop 0040104D 90 nop 0040104E 90 nop 0040104F 90 nop 00401050 90 nop 00401051 90 nop 00401052 90 nop 00401053 90 nop 00401054 90 nop 00401055 90 nop 00401056 90 nop 00401057 90 nop 00401058 > 6A 00 push 0x0 ; /Style = MB_OK\|MB_APPLMODAL 0040105A . 68 05104000 push 2.00401005 ; \|Title = "ddsoft" 0040105F . 68 00104000 push 2.00401000 ; \|Text = "1987" 00401064 . 6A 00 push 0x0 ; \|hOwner = NULL 00401066 . E8 25000000 call <jmp.&user32.MessageBoxA> ; \MessageBoxA 0040106B . 90 nop 0040106C . 90 nop 0040106D . 90 nop 0040106E . 90 nop 0040106F . 90 nop 00401070 . 6A 00 push 0x0 ; /Style = MB_OK\|MB_APPLMODAL 00401072 . 68 05104000 push 2.00401005 ; \|Title = "ddsoft" 00401077 . 68 00104000 push 2.00401000 ; \|Text = "1987" 0040107C . 6A 00 push 0x0 ; \|hOwner = NULL 0040107E . E8 0D000000 call <jmp.&user32.MessageBoxA> ; \MessageBoxA 00401083 . 90 nop 00401084 . 90 nop 00401085 . 90 nop 00401086 . 90 nop 00401087 . 90 nop 00401088 . 6A 00 push 0x0 ; /ExitCode = 0 0040108A . E8 07000000 call <jmp.&kernel32.ExitProcess> ; \ExitProcess 0040108F 00 db 00 00401090 $- FF25 E8104000 jmp dword ptr ds:[<&user32.MessageBoxA>] ; user32.MessageBoxA 00401096 .- FF25 F0104000 jmp dword ptr ds:[<&kernel32.ExitProcess>; kernel32.ExitProcess 0040109C . D8100000 dd 000010D8 ; 结构 'IMAGE_IMPORT_DESCRIPTOR' 就几行代码没什么好看的。就是个手写PE吧。。 2011-2-22 00:14 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼我没那闲功夫手写 2011-2-22 00:15 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 6 楼那这个东西有什么好玩的呢？4个一样的MessageBox, 我是nop了2个后，然后在nop的那个区域加了个打开网页的功能（用了硬编码，适用于XP sp3) 然后修正OEP，就完工了。你没有仔细看我的帖子。改后的程序，是打开我的网页，然后再弹2个消息框，我改了消息框的内容。 2011-2-22 00:19 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼你的2打开就弹错误，我也是XP3 2011-2-22 00:21 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 8 楼 5个MessageBox,你一定没动态跟踪 2011-2-22 00:22 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 9 楼我是没数，觉得无聊。丢进OD，就几行代码。好玩的地方在哪？ 2011-2-22 00:23 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼郁闷，建议你别学XX了，对这个的实现方式不敢兴趣？我说过，学过的人一定会知道实现方式的 2011-2-22 00:24 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 11 楼说实话，我的PE格式和编程不会比你差。。。建议你先还是说清楚好玩的在哪。。。其他人的手写PE，我就觉得比你这个好玩。 2011-2-22 00:28 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 12 楼我很自然地把你的这个帖子当标题党了。此帖不再回复。 2011-2-22 00:29 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼。。。别心里不平衡了我。我不就拿了个精华吗，如果可以，我叫版主给我去掉，顺便说哈，真的不是手写PE，我不会把时间浪费在手写PE上面的 2011-2-22 00:29 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 14 楼你仔细看看我的帖子，和你说话的态度，不想和你多说了。。。你仍然没有说重点，我只是好奇你说的好玩在哪个地方？？？怎么这么难沟通。 2011-2-22 00:31 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼对不起，大哥！ 2011-2-22 00:32 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 16 楼，你自己用OD单步一便就知道函数怎么调用5次了，你只看见两个MessageBox函数吧 2011-2-22 00:36 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 17 楼我用的OD，载入你的程序，截图如下：5个MessageBox如此明显上传的附件： 1.jpg （99.94kb，115次下载） 2.jpg （92.51kb，111次下载） 2011-2-22 00:46 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 18 楼你的od 有问题吧我可以看到5个messagebox 2011-2-23 14:24 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 19 楼我也可以看到5个。。。。呵呵。。 2011-2-23 15:42 0
dwboy 雪币： 45 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	dwboy 20 楼特地下了一个0修改的OD，还是5个MsgBox，没懂LZ是什么意思 2011-2-23 16:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复