首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. CTF对抗
    3. 发新帖
一个混血NAG
发表于: 2011-4-25 17:28 9165

一个混血NAG

KuNgBiM 活跃值
66
2011-4-25 17:28
9165
nag1.zip


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (15)
cntrump
雪    币: 1708
活跃值: (586)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
私信
2
老K好久不发帖了.
2011-4-25 18:16
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
3
bbs是不是被攻击中
上传的附件:
2011-4-25 21:42
0
张相公
雪    币: 358
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
2个附件都下载看看
2011-4-25 21:58
0
guijian
雪    币: 545
活跃值: (1502)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
什么东东???
2011-4-25 23:04
0
elianmeng
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
6
果然是大牛,加了二层壳,Vb程序,壳不好脱啊,是你new的一块buffer 修复半天还是不行
就带壳看了一下 关键代码很想vc
晚上在看 上班时间不敢多看
733935A4 >  55              push ebp
733935A5    8BEC            mov ebp,esp
733935A7    6A FF           push -0x1
733935A9    68 D0973A73     push msvbvm60.733A97D0
733935AE    68 FDBA4773     push msvbvm60.7347BAFD
733935B3    64:A1 00000000  mov eax,dword ptr fs:[0]
733935B9    50              push eax
733935BA    64:8925 0000000>mov dword ptr fs:[0],esp
733935C1    51              push ecx
733935C2    51              push ecx
733935C3    83EC 4C         sub esp,0x4C
733935C6    53              push ebx
733935C7    56              push esi
733935C8    57              push edi
733935C9    8965 E8         mov dword ptr ss:[ebp-0x18],esp
733935CC    8B75 08         mov esi,dword ptr ss:[ebp+0x8]
733935CF    8935 70E84973   mov dword ptr ds:[0x7349E870],esi
733935D5    8365 FC 00      and dword ptr ss:[ebp-0x4],0x0
733935D9    8D45 A0         lea eax,dword ptr ss:[ebp-0x60]
733935DC    50              push eax
733935DD    FF15 A0103973   call dword ptr ds:[<&KERNEL32.GetStartup>; kernel32.GetStartupInfoA
733935E3    0FB745 D0       movzx eax,word ptr ss:[ebp-0x30]
733935E7    A3 6CE84973     mov dword ptr ds:[0x7349E86C],eax
733935EC    FF35 D8E74973   push dword ptr ds:[0x7349E7D8]           ; 11_.00400000
733935F2    56              push esi
733935F3    BE 70E44973     mov esi,msvbvm60.7349E470
733935F8    8BCE            mov ecx,esi
733935FA    90              nop
733935FB    E8 5C000000     call msvbvm60.7339365C
73393600    8945 E4         mov dword ptr ss:[ebp-0x1C],eax
73393603    85C0            test eax,eax
73393605    0F8C ACC30100   jl msvbvm60.733AF9B7
7339360B    6A 00           push 0x0
7339360D    6A 00           push 0x0
7339360F    68 69100000     push 0x1069
73393614    FF15 88123973   call dword ptr ds:[<&KERNEL32.GetCurrent>; kernel32.GetCurrentThreadId
7339361A    50              push eax
7339361B    FF15 40163973   call dword ptr ds:[<&USER32.PostThreadMe>; USER32.PostThreadMessageA
73393621    8D45 9C         lea eax,dword ptr ss:[ebp-0x64]
73393624    50              push eax
73393625    8BCE            mov ecx,esi
73393627    E8 34230000     call msvbvm60.73395960
7339362C    85C0            test eax,eax
7339362E    74 14           je short msvbvm60.73393644
73393630    8B45 9C         mov eax,dword ptr ss:[ebp-0x64]
73393633    8B88 20050000   mov ecx,dword ptr ds:[eax+0x520]
73393639    85C9            test ecx,ecx
7339363B    74 07           je short msvbvm60.73393644
7339363D    6A FF           push -0x1
7339363F    E8 666E0000     call msvbvm60.7339A4AA
73393644    8BCE            mov ecx,esi
73393646    E8 9C8F0000     call msvbvm60.7339C5E7
7339364B    834D FC FF      or dword ptr ss:[ebp-0x4],-0x1
7339364F    6A 00           push 0x0
73393651    FF15 A8103973   call dword ptr ds:[<&KERNEL32.ExitProces>; kernel32.ExitProcess
73393657    E9 78C30100     jmp msvbvm60.733AF9D4
7339365C    55              push ebp
7339365D    8BEC            mov ebp,esp
7339365F    51              push ecx
73393660    8B45 0C         mov eax,dword ptr ss:[ebp+0xC]
73393663    53              push ebx
73393664    56              push esi
73393665    57              push edi
73393666    8B7D 08         mov edi,dword ptr ss:[ebp+0x8]
73393669    8BF1            mov esi,ecx
7339366B    8B1D CCE74973   mov ebx,dword ptr ds:[0x7349E7CC]
73393671    8065 FF 00      and byte ptr ss:[ebp-0x1],0x0
73393675    8986 1C010000   mov dword ptr ds:[esi+0x11C],eax
7339367B    8B47 3C         mov eax,dword ptr ds:[edi+0x3C]
7339367E    8026 00         and byte ptr ds:[esi],0x0
73393681    68 04010000     push 0x104
73393686    F7D0            not eax
73393688    C1E8 03         shr eax,0x3
7339368B    24 01           and al,0x1
7339368D    6A 08           push 0x8
7339368F    53              push ebx
73393690    89BE 20010000   mov dword ptr ds:[esi+0x120],edi
73393696    8846 01         mov byte ptr ds:[esi+0x1],al
73393699    FF15 90123973   call dword ptr ds:[<&KERNEL32.HeapAlloc>>; ntdll.RtlAllocateHeap
7339369F    85C0            test eax,eax
733936A1    0F84 ABB40100   je msvbvm60.733AEB52
733936A7    8918            mov dword ptr ds:[eax],ebx
733936A9    83C0 04         add eax,0x4
733936AC    85C0            test eax,eax
733936AE    0F84 9EB40100   je msvbvm60.733AEB52
733936B4    6A 01           push 0x1
733936B6    8BC8            mov ecx,eax
733936B8    E8 5B000000     call msvbvm60.73393718
733936BD    8BD8            mov ebx,eax
733936BF    85DB            test ebx,ebx
733936C1    0F84 92B40100   je msvbvm60.733AEB59
733936C7    FF15 88123973   call dword ptr ds:[<&KERNEL32.GetCurrent>; kernel32.GetCurrentThreadId
733936CD    56              push esi
733936CE    8BCB            mov ecx,ebx
733936D0    8946 24         mov dword ptr ds:[esi+0x24],eax
733936D3    E8 F6000000     call msvbvm60.733937CE
733936D8    85C0            test eax,eax
733936DA    8945 08         mov dword ptr ss:[ebp+0x8],eax
733936DD    0F8C 7DB40100   jl msvbvm60.733AEB60
733936E3    53              push ebx
733936E4    8BCE            mov ecx,esi
733936E6    E8 4D010000     call msvbvm60.73393838
733936EB    FF75 0C         push dword ptr ss:[ebp+0xC]
733936EE    8BCB            mov ecx,ebx
733936F0    C645 FF 01      mov byte ptr ss:[ebp-0x1],0x1
733936F4    57              push edi
733936F5    E8 9B010000     call msvbvm60.73393895
733936FA    85C0            test eax,eax
733936FC    8945 08         mov dword ptr ss:[ebp+0x8],eax
733936FF    0F8C 5BB40100   jl msvbvm60.733AEB60
73393705    807E 01 00      cmp byte ptr ds:[esi+0x1],0x0
73393709    0F85 95B40100   jnz msvbvm60.733AEBA4
7339370F    33C0            xor eax,eax
73393711    5F              pop edi
73393712    5E              pop esi
73393713    5B              pop ebx
73393714    C9              leave
73393715    C2 0800         retn 0x8
2011-4-26 10:58
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
7
脱第一层  upx  -d  nag1.exe  1.exe
脱第二层  1.exe 文件从 6280h 到最后, 存成 2.exe
没了.

那里不好脱 ?
2011-4-26 11:05
0
elianmeng
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
8
谢谢大牛指点
2011-4-26 11:10
0
夜凉如水
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
9
hehe ss 还在啊 这个不是很好玩的
2011-4-26 11:13
0
sessiondiy
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
10
凉凉还在啊?
单字节很好玩的啊
2011-4-26 11:17
0
moonife
雪    币: 370
活跃值: (52)
能力值: ( LV13,RANK:350 )
在线值:
发帖
回帖
粉丝
私信
11
s大总是如此飘逸
2011-4-26 13:27
0
KuNgBiM
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
私信
12
upx 只是为了压缩体积  upx -d 就OK了
2011-4-26 19:48
0
KuNgBiM
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
私信
13
http://www.unpack.cn/viewthread.php?tid=66062
2011-4-26 19:50
0
夜凉如水
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
14
我在等楼楼下的如何cr 呢
2011-4-26 21:01
0
ttgood
雪    币: 386
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
怎么显示是UPolyX v0.5 *
2011-4-26 23:08
0
elianmeng
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
16
谢谢s大,如果不是你壳还脱不了 121.rar
上传的附件:
2011-4-27 10:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//