[求助]AutoIt 3.3.6.1 内存中怎么提取完整-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]AutoIt 3.3.6.1 内存中怎么提取完整

发表于: 2011-5-6 10:25 9750

[求助]AutoIt 3.3.6.1 内存中怎么提取完整

Mxixihaha

2011-5-6 10:25

9750

AutoIt version 3.3.6.1

BP ReadFile 一次返回后找ASCII  'EA06'

0043533D 68 D8764800    PUSH 004876D8                         ; EA06
00435342 51             PUSH ECX
00435343 C64424 10 00 MOV BYTE PTR SS:[ESP+0x10], 0x0
00435348 E8 83FEFDFF    CALL 004151D0
0043534D 83C4 08       ADD ESP, 0x8
00435350 F7D8          NEG EAX
00435352 1BC0          SBB EAX, EAX
00435354 F7D8          NEG EAX
00435356 5E             POP ESI
00435357 83C4 08       ADD ESP, 0x8
0043535A C2 0800       RETN 0x8                               ; 断点

0042CB11 E8 CA06FEFF    CALL 0040D1E0                         ; F8 单步到这里
0042CB16 8B4C24 6C    MOV ECX, DWORD PTR SS:[ESP+0x6C]
0042CB1A 8B5424 74    MOV EDX, DWORD PTR SS:[ESP+0x74]       ; 待解密的格式
0042CB1E 0FB61C11       MOVZX EBX, BYTE PTR DS:[ECX+EDX]
0042CB22 8D0411       LEA EAX, DWORD PTR DS:[ECX+EDX]
0042CB25 41             INC ECX
0042CB26 8BFB          MOV EDI, EBX
0042CB28 8D7424 20    LEA ESI, DWORD PTR SS:[ESP+0x20]
0042CB2C 894C24 6C    MOV DWORD PTR SS:[ESP+0x6C], ECX
0042CB30 E8 CB5FFDFF    CALL 00402B00
0042CB35 56             PUSH ESI
0042CB36 E8 458B0000    CALL 00435680
0042CB3B 84C0          TEST AL, AL
0042CB3D 74 1D          JE SHORT 0042CB5C
0042CB3F 8B4C24 6C    MOV ECX, DWORD PTR SS:[ESP+0x6C]
0042CB43 8B5424 74    MOV EDX, DWORD PTR SS:[ESP+0x74]
0042CB47 8D0411       LEA EAX, DWORD PTR DS:[ECX+EDX]
0042CB4A 8B00          MOV EAX, DWORD PTR DS:[EAX]
0042CB4C 83C1 04       ADD ECX, 0x4
0042CB4F 894C24 6C    MOV DWORD PTR SS:[ESP+0x6C], ECX
0042CB53 894424 20    MOV DWORD PTR SS:[ESP+0x20], EAX
0042CB57 E9 27010000    JMP 0042CC83
0042CB5C 8D4C24 20    LEA ECX, DWORD PTR SS:[ESP+0x20]
0042CB60 51             PUSH ECX
0042CB61 E8 FC8A0000    CALL 00435662
0042CB66 84C0          TEST AL, AL
0042CB68 74 24          JE SHORT 0042CB8E
0042CB6A 8B4C24 6C    MOV ECX, DWORD PTR SS:[ESP+0x6C]
0042CB6E 8B5424 74    MOV EDX, DWORD PTR SS:[ESP+0x74]
0042CB72 8D0411       LEA EAX, DWORD PTR DS:[ECX+EDX]
0042CB75 8B50 04       MOV EDX, DWORD PTR DS:[EAX+0x4]
0042CB78 83C1 08       ADD ECX, 0x8
0042CB7B 894C24 6C    MOV DWORD PTR SS:[ESP+0x6C], ECX
0042CB7F 8B08          MOV ECX, DWORD PTR DS:[EAX]
0042CB81 894C24 20    MOV DWORD PTR SS:[ESP+0x20], ECX
0042CB85 895424 24    MOV DWORD PTR SS:[ESP+0x24], EDX
0042CB89 E9 F5000000    JMP 0042CC83
0042CB8E 8D4424 20    LEA EAX, DWORD PTR SS:[ESP+0x20]
0042CB92 50             PUSH EAX
0042CB93 E8 AC8A0000    CALL 00435644
0042CB98 84C0          TEST AL, AL
0042CB9A 74 1E          JE SHORT 0042CBBA
0042CB9C 8B4C24 6C    MOV ECX, DWORD PTR SS:[ESP+0x6C]
0042CBA0 8B5424 74    MOV EDX, DWORD PTR SS:[ESP+0x74]
0042CBA4 DD0411       FLD QWORD PTR DS:[ECX+EDX]
0042CBA7 8D0411       LEA EAX, DWORD PTR DS:[ECX+EDX]
0042CBAA 83C1 08       ADD ECX, 0x8
0042CBAD DD5C24 20    FSTP QWORD PTR SS:[ESP+0x20]
0042CBB1 894C24 6C    MOV DWORD PTR SS:[ESP+0x6C], ECX
0042CBB5 E9 C9000000    JMP 0042CC83
0042CBBA 8D4424 20    LEA EAX, DWORD PTR SS:[ESP+0x20]
0042CBBE E8 7D06FEFF    CALL 0040D240
0042CBC3 84C0          TEST AL, AL
0042CBC5 0F84 B8000000 JE 0042CC83
0042CBCB 8B4C24 74    MOV ECX, DWORD PTR SS:[ESP+0x74]
0042CBCF 8D4424 6C    LEA EAX, DWORD PTR SS:[ESP+0x6C]
0042CBD3 50             PUSH EAX
0042CBD4 51             PUSH ECX
0042CBD5 895C24 1C    MOV DWORD PTR SS:[ESP+0x1C], EBX
0042CBD9 E8 73840100    CALL 00445051
0042CBDE 8BD8          MOV EBX, EAX                            ; EAX 里面存放了前一半关键字如 EAX=010FC1B8, (UNICODE "#NoTrayIcon")
0042CBE0 8BC7          MOV EAX, EDI
0042CBE2 83F8 31       CMP EAX, 0x31

怎么提取完整呢? 听说

myAutToExe2_10 可以,但默认的无法识别,希望大家帮忙说说新版的提取...

测试文件...  主要想看看脚本怎么调用的reg.dll

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

test.rar （1.15MB，50次下载）

收藏・2

免费・7

支持

最新回复 (8)
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2 楼 .................... $RESULT = DLLCALL ( 'Reg.dll' , 'str' , 'ReadPhysicalDrive' ) $RESULT1 = DLLCALL ( 'Reg.dll' , 'str' , 'GetCPUID' ) $JQ = STRINGUPPER ( $RESULT [ 0 ]& $RESULT1 [ 0 ] ) $JQ = _MD5 ( $JQ ) $JQ = STRINGMID ( $JQ , 3 ) $REGPW1 = $JQ $REGPW2 = 'www.163.com' $KEYPW = 'www.2011.com' $REGGUI = GUICREATE ( ' 程序注册' , 283 , 157 , @DESKTOPWIDTH / 2 - 150 , @DESKTOPHEIGHT / 2 - 150 ) $TITLE = GUICTRLCREATELABEL ( '程序注册 ' , 120 , 4 , 130 , 20 ) GUICTRLSETFONT ( - 1 , 10 , 800 , 0 , 'MS Sans Serif' ) GUICTRLSETCOLOR ( - 1 , 16711680 ) $USER = GUICTRLCREATELABEL ( '机器码1' , 5 , 28 , 50 , 17 ) $REGUSER = GUICTRLCREATEINPUT ( $REGPW1 , 55 , 25 , 217 , 21 , BITOR ( $ES_CENTER , $ES_READONLY , $WS_BORDER , $WS_CLIPSIBLINGS ), $WS_EX_STATICEDGE ) GUICTRLSETLIMIT ( - 1 , 15 ) GUICTRLSETBKCOLOR ( - 1 , 15526360 ) $MACKEY = GUICTRLCREATELABEL ( '机器码2' , 5 , 58 , 50 , 17 ) $HDKEY = GUICTRLCREATEINPUT ( _HDKEY ( ), 55 , 55 , 217 , 21 , BITOR ( $ES_CENTER , $ES_READONLY , $WS_BORDER , $WS_CLIPSIBLINGS ), $WS_EX_STATICEDGE ) GUICTRLSETLIMIT ( - 1 , 32 ) GUICTRLSETBKCOLOR ( - 1 , 15526360 ) $REGSN = GUICTRLCREATELABEL ( '注册码' , 5 , 88 , 40 , 17 ) $REGKEY = GUICTRLCREATEINPUT ( '' , 55 , 85 , 217 , 21 , BITOR ( $ES_CENTER , $ES_AUTOHSCROLL , $WS_BORDER , $WS_CLIPSIBLINGS ), $WS_EX_STATICEDGE ) ...................... 2011-5-6 21:04 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 3 楼搞网吧，想免费上网还是捞账号？ 2011-5-6 21:09 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 4 楼膜拜牛淫...完整提取方法可不可以稍稍透露下下... 2011-5-7 10:12 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 5 楼没有,从不在网吧上网... 只是想研究一下这种脚本的新版本是怎么提取滴... 现在都只有半截,以前可以看到完整的. 2011-5-7 10:13 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 6 楼求常量解法... EDX = 待解密 xor 待解密,长度 = 解密出来的代码,不过那些常量是怎么分析出来的呢? 继续求解... 2011-5-9 13:18 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 7 楼脚本？！ 2011-5-13 02:33 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 8 楼稍稍提点下参数和常量的解法非常感谢 2011-5-14 12:57 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 9 楼 HOHO~~~ 终于有关注了... 坐等看牛淫们表演吧 2011-5-23 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Mxixihaha

发帖

592

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2 楼 .................... $RESULT = DLLCALL ( 'Reg.dll' , 'str' , 'ReadPhysicalDrive' ) $RESULT1 = DLLCALL ( 'Reg.dll' , 'str' , 'GetCPUID' ) $JQ = STRINGUPPER ( $RESULT [ 0 ]& $RESULT1 [ 0 ] ) $JQ = _MD5 ( $JQ ) $JQ = STRINGMID ( $JQ , 3 ) $REGPW1 = $JQ $REGPW2 = 'www.163.com' $KEYPW = 'www.2011.com' $REGGUI = GUICREATE ( ' 程序注册' , 283 , 157 , @DESKTOPWIDTH / 2 - 150 , @DESKTOPHEIGHT / 2 - 150 ) $TITLE = GUICTRLCREATELABEL ( '程序注册 ' , 120 , 4 , 130 , 20 ) GUICTRLSETFONT ( - 1 , 10 , 800 , 0 , 'MS Sans Serif' ) GUICTRLSETCOLOR ( - 1 , 16711680 ) $USER = GUICTRLCREATELABEL ( '机器码1' , 5 , 28 , 50 , 17 ) $REGUSER = GUICTRLCREATEINPUT ( $REGPW1 , 55 , 25 , 217 , 21 , BITOR ( $ES_CENTER , $ES_READONLY , $WS_BORDER , $WS_CLIPSIBLINGS ), $WS_EX_STATICEDGE ) GUICTRLSETLIMIT ( - 1 , 15 ) GUICTRLSETBKCOLOR ( - 1 , 15526360 ) $MACKEY = GUICTRLCREATELABEL ( '机器码2' , 5 , 58 , 50 , 17 ) $HDKEY = GUICTRLCREATEINPUT ( _HDKEY ( ), 55 , 55 , 217 , 21 , BITOR ( $ES_CENTER , $ES_READONLY , $WS_BORDER , $WS_CLIPSIBLINGS ), $WS_EX_STATICEDGE ) GUICTRLSETLIMIT ( - 1 , 32 ) GUICTRLSETBKCOLOR ( - 1 , 15526360 ) $REGSN = GUICTRLCREATELABEL ( '注册码' , 5 , 88 , 40 , 17 ) $REGKEY = GUICTRLCREATEINPUT ( '' , 55 , 85 , 217 , 21 , BITOR ( $ES_CENTER , $ES_AUTOHSCROLL , $WS_BORDER , $WS_CLIPSIBLINGS ), $WS_EX_STATICEDGE ) ...................... 2011-5-6 21:04 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 3 楼搞网吧，想免费上网还是捞账号？ 2011-5-6 21:09 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 4 楼膜拜牛淫...完整提取方法可不可以稍稍透露下下... 2011-5-7 10:12 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 5 楼没有,从不在网吧上网... 只是想研究一下这种脚本的新版本是怎么提取滴... 现在都只有半截,以前可以看到完整的. 2011-5-7 10:13 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 6 楼求常量解法... EDX = 待解密 xor 待解密,长度 = 解密出来的代码,不过那些常量是怎么分析出来的呢? 继续求解... 2011-5-9 13:18 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 7 楼脚本？！ 2011-5-13 02:33 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 8 楼稍稍提点下参数和常量的解法非常感谢 2011-5-14 12:57 0
Mxixihaha 雪币： 4361 活跃值： (4343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 9 楼 HOHO~~~ 终于有关注了... 坐等看牛淫们表演吧 2011-5-23 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复