首页
社区
课程
招聘
注入+dump+内存补钉+themida暴破4-24更新
发表于: 2005-4-20 04:37 15094

注入+dump+内存补钉+themida暴破4-24更新

2005-4-20 04:37
15094
如题了,
这次加入了钩子注入方式.有时候能用到.
这次加入了内存补钉只能说能用,因为快工弄不出好东西的啊,\
然后注册程序成了一个16进制编辑器,以后慢慢完善,
带了一个themida 1.0.0.5的内存补钉,不完全破解哦.因为我没有写sdk来测试.

现在可以不拷贝dll就可以注入,自带的dll是一个dump+内存查看修改模块
下次加入IAT修复功能,修复方法是我自己想的,虽然很奇特但是不知道我有没有时间完成,
增加了修改到文件功能,大家小心用哦.记得备份文件.
可以注入themida拉.我的注入版本为themida 1.0.0.5

附件:Bin.rar

大家凑合着用吧.
BTW:我dumpthemida的时候发现40000000地方还有一个程序,用来处理输入表的,有兴趣的可用工具dump出来分析.,处理代码好象不长,但是我实在是没有时间分析,有兴趣的上...
我还想到了一种通用的IAT修复的办法,下一次写到程序中去...

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (45)
雪    币: 2319
活跃值: (565)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
2
支持
这个东西采用那一种方式  ?

- SetWindowHookEx
- CreateRemoteThread + LoadLibrary
-        CreateRemoteThread  + VirtualAllocEx + WriteProcessMemory
-        DebugActiveProcess + SuspendThread + SetThreadContext
-        Registry
-        驱动

还是其它新方法  ?
2005-4-20 08:07
0
雪    币: 236
活跃值: (69)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
关注中
2005-4-20 08:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
既然说没用钩子原理
那估计是改输入表
2005-4-20 10:58
0
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
5
很常用的一种方法,算不上超强吧,程序还不太善,必须把你的dll拷贝到待注入程序目录中才能挂接成功,不然dll挂不进去

以CREATE_SUSPENDED创建一个进程并挂起,然后ReadProcessMemory,得到一些信息,文件头部分和oep,最后在WriteProcessMemory,
把代码和dll文件名写入dosstub位置的地方,最后把oep的地方改为为push xxxxxx,retn去执行写入的那部份代码,

最后再Resume该进程
2005-4-20 11:27
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
6
最初由 riijj 发布
支持
这个东西采用那一种方式 ?

- SetWindowHookEx
- CreateRemoteThread + LoadLibrary
........

都没有采用 ,
2005-4-20 11:36
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
7
最初由 xIkUg 发布
很常用的一种方法,算不上超强吧,程序还不太善,必须把你的dll拷贝到待注入程序目录中才能挂接成功,不然dll挂不进去

以CREATE_SUSPENDED创建一个进程并挂起,然后ReadProcessMemory,得到一些信息,文件头部分和oep,最后在WriteProcessMemory,
把代码和dll文件名写入dosstub位置的地方,最后把oep的地方改为为push xxxxxx,retn去执行写入的那部份代码,

........

超强只是说着玩的,如果想要达到很好的效果还有很多要做的呢.以后慢慢完善,
2005-4-20 11:38
0
雪    币: 214
活跃值: (100)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
建议"见习版主"不要使用超强之类极端的词汇,这样显得浅薄
2005-4-20 11:45
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
9
最初由 randomizer 发布
建议"见习版主"不要使用超强之类极端的词汇,这样显得浅薄

谢谢,以后会注意的.
2005-4-20 11:48
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
10
最初由 randomizer 发布
建议"见习版主"不要使用超强之类极端的词汇,这样显得浅薄


hehe,何必吹毛求疵
2005-4-20 12:41
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
11
学习一下
偶也是玩Delphi,但一点也不精
2005-4-20 14:38
0
雪    币: 1238
活跃值: (808)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
12
真不知道为什么你们要这么劳师动众。下面代码就能DUMP。

#define BASE 0x00400000
#define SIZE 0x259000

ProcessName "Themida.exe"

LRESULT CALLBACK KeyboardProc(int nCode,WPARAM wParam,LPARAM lParam)
{
        FILE *fp;
        if((nCode==HC_ACTION)&&((lParam & 0xC0000000)!=0)){
                if(g_dwThreadID=::GetCurrentProcessId() != (g_dwProcessId=GetProcessNamePid(ProcessName))){
                        return CallNextHookEx(g_hKeyHook, nCode, wParam, lParam );
                }else{
                        switch(wParam){
                        case VK_F10:
                                MessageBox(NULL,"SUCCESS","OK",MB_OK);
                                fp=fopen("c:\\Dump.exe","a+b");
                                fwrite((const void *)BASE,SIZE,1,fp);
                                fclose(fp);
                                break;
                        default:
                                break;
                        }
                }
        }
        return CallNextHookEx(g_hKeyHook, nCode, wParam, lParam );       
}
2005-4-21 14:00
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
13
最初由 KernelKiller 发布
真不知道为什么你们要这么劳师动众。下面代码就能DUMP。

这个东西为了和杀读软件兼任。他会考虑让你HOOK他的。用个键盘HOOK就能DUMP。


........

我的目的不是为dump某个程序而弄的.我的目的是实现我的想法,顺便写这样的工具方便大家,毕竟没有人愿意每次都自己写一个工具来达到一个小小的目的.
2005-4-21 14:08
0
雪    币: 440
活跃值: (712)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
14
[Fatal Error] Could not create output file 'bin\DllInject.exe'

不知道why?
2005-4-21 14:17
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
15
最初由 winndy 发布
[Fatal Error] Could not create output file 'bin\DllInject.exe'

不知道why?

新建一个bin目录.空目录就可以拉
2005-4-21 14:18
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
16
支持
置顶几天
2005-4-21 14:28
0
雪    币: 294
活跃值: (578)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zxc
17
真的,很没意思。。  不要动不动就用Themida呀XPO啊什么什么的来说。 一个小HOOK随便一个东西说说就行了。。  老和这些东西扯关系没意思。。
2005-4-21 14:35
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
18
最初由 zxc 发布
真的,很没意思。。 不要动不动就用Themida呀XPO啊什么什么的来说。 一个小HOOK随便一个东西说说就行了。。 老和这些东西扯关系没意思。。

这个程序不是针对themida或者xpr的,是一个通用的dump程序.说themida是说软件的兼容性还可以,没有其他的意思.
2005-4-21 14:42
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
最初由 netsowell 发布

这个程序不是针对themida或者xpr的,是一个通用的dump程序.说themida是说软件的兼容性还可以,没有其他的意思.


主要是对你通用的输入表方法有点兴趣
2005-4-21 15:05
0
雪    币: 440
活跃值: (712)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
20
OK了!
Thx!
2005-4-21 16:23
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
21
最初由 鸡蛋壳 发布


主要是对你通用的输入表方法有点兴趣

方法有的,你慢慢等,等我忙过了就写.
2005-4-22 20:46
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
22
很不错!需要指出的是demo版Themida除了Nag限制,功能限制之外,还有一个限制,就是保护的程序只能运行20分钟
2005-4-22 21:30
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
23
最初由 Themida 发布
很不错!需要指出的是demo版Themida除了Nag限制,功能限制之外,还有一个限制,就是保护的程序只能运行20分钟

这个到没有考虑到,也没有打算把它破解掉,我破解那些也是因为测试工具顺便破解的,以后更新工具的时候如果顺便能破解掉就拿出来给大家用.
2005-4-22 21:32
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
最初由 netsowell 发布

这个到没有考虑到,也没有打算把它破解掉,我破解那些也是因为测试工具顺便破解的,以后更新工具的时候如果顺便能破解掉就拿出来给大家用.


搞一个可以使用的给大家使用一下也好
2005-4-23 09:54
0
雪    币: 221
活跃值: (2301)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
25
怎么用?哪位大侠写个教材?
2005-4-23 13:11
0
游客
登录 | 注册 方可回帖
返回
//