-
-
[讨论]大家帮忙分析一下这个进程的行为吧,ArpHelper.exe
-
发表于: 2011-4-4 15:06
-
注册了这么些年,第一次发帖……
这些天来一直在研究学校校园网的客户端,打算自己重写一个好用一点的(学校提供的那个对我们做了太多的限制,最烦的就是多网卡的限制了,用虚拟机的时候都上不了网)。
辛辛苦苦的脱壳、用 OD 跟踪、用 Wireshark 抓包,总算是把数据包的加密、解密,以及跟服务器那边的认证以及保持连接的方式搞定了。
接着,编码、编译;兴冲冲的运行起来——服务器返回认证成功的消息,然后兴冲冲的去开网页,结果——还是上不了网……
冥思苦想了很久,一直都不弄不明白到底是怎么回事。后来,很偶然的,我在原版客户端的安装目录下发现了这个文件:ArpHelper.exe,然后好奇的运行了,好像什么事都没发生,只是在在进程中,多了一个 ArpHelper.exe。
一开始也没在意,后来又不甘心的试了试自己的那个客户端——居然能成功上网了……
后来反复试验,证明就是这个 ArpHelper 搞的鬼。
纳闷的是,运行原版的客户端时,并没有启动 ArpHelper 这个进程(后来用 OD 查看原版的客户端,发现,其中有跟 ArpHelper 完全一样的代码,想必是已经整合在客户端里了)……
用 DiE 看了看,没有壳,直接用 OD 打开,接着就看不太明白了……
目前我知道的信息如下:
1、这个进程的描述为 “防 Arp 欺骗程序”
2、这个进程里面,读取了网络适配器的信息
3、这个进程,并没有访问网络
4、这个程序,在原来的版本中,似乎是以链接库的形式存在的
5、我们学校的外网认证方式为 BAS 认证,在通过了服务器的认证的情况下,
我的机器必须启动这个进程,才能正常上网
在逆向分析方面,我只是个初学者,如果可以的话,希望大家能帮助我分析一下这个进程的行为,谢谢了。
如果大家在看了上面的描述之后,有什么可行的想法,也请指点我一下,毕竟自己动手去尝试,才能学到更多的东西。
这些天来一直在研究学校校园网的客户端,打算自己重写一个好用一点的(学校提供的那个对我们做了太多的限制,最烦的就是多网卡的限制了,用虚拟机的时候都上不了网)。
辛辛苦苦的脱壳、用 OD 跟踪、用 Wireshark 抓包,总算是把数据包的加密、解密,以及跟服务器那边的认证以及保持连接的方式搞定了。
接着,编码、编译;兴冲冲的运行起来——服务器返回认证成功的消息,然后兴冲冲的去开网页,结果——还是上不了网……
冥思苦想了很久,一直都不弄不明白到底是怎么回事。后来,很偶然的,我在原版客户端的安装目录下发现了这个文件:ArpHelper.exe,然后好奇的运行了,好像什么事都没发生,只是在在进程中,多了一个 ArpHelper.exe。
一开始也没在意,后来又不甘心的试了试自己的那个客户端——居然能成功上网了……
后来反复试验,证明就是这个 ArpHelper 搞的鬼。
纳闷的是,运行原版的客户端时,并没有启动 ArpHelper 这个进程(后来用 OD 查看原版的客户端,发现,其中有跟 ArpHelper 完全一样的代码,想必是已经整合在客户端里了)……
用 DiE 看了看,没有壳,直接用 OD 打开,接着就看不太明白了……
目前我知道的信息如下:
1、这个进程的描述为 “防 Arp 欺骗程序”
2、这个进程里面,读取了网络适配器的信息
3、这个进程,并没有访问网络
4、这个程序,在原来的版本中,似乎是以链接库的形式存在的
5、我们学校的外网认证方式为 BAS 认证,在通过了服务器的认证的情况下,
我的机器必须启动这个进程,才能正常上网
在逆向分析方面,我只是个初学者,如果可以的话,希望大家能帮助我分析一下这个进程的行为,谢谢了。
如果大家在看了上面的描述之后,有什么可行的想法,也请指点我一下,毕竟自己动手去尝试,才能学到更多的东西。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
