字符串问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

字符串问题

发表于: 2011-11-30 19:23 10769

字符串问题

luodf

2011-11-30 19:23

10769

我有个软件，无壳。OD里可以找到很多字符串，可就是标题“无论怎样都搜索不到，用C32和UE都试过。也尝试过下字符串断点，可下断点后，程序在OD中直接运行，不中断。这个问题搞了好几天了。现向各位大牛们请教修改标题方法，谢谢各位了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

QQ1.png （48.47kb，301次下载）
QQ2.png （41.14kb，299次下载）

收藏・1

免费・0

支持

最新回复 (24)
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 2 楼因为这个标题加密了 2011-11-30 21:30 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 3 楼哦我知道加密了，那该怎么解决呢说下方法啊 2011-11-30 22:34 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 4 楼我知道是标题加密了，尝试下字符串断点，可字符串断点怎么无法中断啊？下了断点，F9直接运行了。不中断啊，盼各位大牛指点下。我还是刚接触破解啊 2011-12-1 13:42 0
DaiHong 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	DaiHong 5 楼找到创建这个窗口(CreateWindow)的地方，有个参数指定拉这个窗口Caption，在那的去应该可以灭哦！ 2011-12-1 23:21 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 6 楼楼上的具体用什么方法啊说说操作 2011-12-2 12:45 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 7 楼 bp CreateWindowExA 第一次中断即可看到窗口标题，具体参考MSDN http://msdn.microsoft.com/en-us/library/ms632680(VS.85).aspx 注意第三个参数lpWindowName HWND WINAPI CreateWindowEx( __in DWORD dwExStyle, __in_opt LPCTSTR lpClassName, __in_opt LPCTSTR lpWindowName, __in DWORD dwStyle, __in int x, __in int y, __in int nWidth, __in int nHeight, __in_opt HWND hWndParent, __in_opt HMENU hMenu, __in_opt HINSTANCE hInstance, __in_opt LPVOID lpParam ); 具体看截图：修改后效果：上传的附件： bp CreateWindowEx.JPG （247.29kb，221次下载）主界面.png （39.73kb，220次下载） 2011-12-2 13:09 0
molong 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	molong 8 楼好像有毒啊不知道是不是 2011-12-2 14:20 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 9 楼没毒啊可能由于是远控吧 2011-12-2 14:22 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 10 楼按照playboysen的方法下断可以找到字符串，修改后保存，运行后标题怎么没改啊 2011-12-2 19:23 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 11 楼我找到了标题，并作如下图的修改，保存后标题无任何变化。试了好几次。没办法了，请教大牛们了！上传的附件： QQ截图未命名.png （54.28kb，194次下载） 2011-12-2 20:07 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 12 楼 bp CreateWindowExA 找到的只是解密后的标题而软件真正的标题是加密存在的你可以在00405B00处下硬件写入断点，然后Ctrl+F2重载程序，F9运行即可断下轻松找到解密处我用Python写了一个模拟加密算法，很简单，运行效果如下：模拟加密脚本： def encode(title): result = [] for i in range(len(title)): result.append(hex((ord(title[i])^9)+9)) result.append('0x00') return result print "Please modify 'Gh0st2012.exe':\nPos: 315Ch(12636d)\tLength: Less 30 bytes" print encode(raw_input('Title: ')) 加密后的标题内容位于软件315Ch字节处长度为30字节运行上面脚本，你可以自定义一个标题，然后根据返回的字节值用十六进制编辑器从315Ch处开始修改文件即可比如模拟修改为：修改后运行效果：上传的附件：图像 1.png （30.12kb，183次下载）图像 2.png （14.36kb，184次下载）图像 3.png （72.97kb，183次下载）图像 4.png （26.69kb，185次下载） 2011-12-2 21:42 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 13 楼哦看得不是很懂，你的脚本在哪啊怎么用呢 2011-12-2 21:52 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 14 楼刚按你说的，打开脚本如图： F5运行结果出错！如图：结束如图：上传的附件： QQ截图未命名1.png （18.91kb，172次下载） QQ截图未命名2.png （17.05kb，173次下载） QQ截图未命名3.png （12.55kb，173次下载） 2011-12-2 22:38 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 15 楼已经说了上述脚本是Python 2.X的而你安装的是Python 3.X Python高版本无法向下兼容完全不同的两个分支重新安装Python 2.7即可 2011-12-2 22:42 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 16 楼哦，mygod。谢谢你啊牛哥真的谢谢 2011-12-2 22:49 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 17 楼我打开脚本如图： F5运行后如图：没输出加密数据啊上传的附件： QQ截图未命名1.png （11.48kb，82次下载） QQ截图未命名2.png （18.75kb，82次下载） 2011-12-3 09:31 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 18 楼如果不太熟悉先不要随便改脚本原脚本这一句： print encode(raw_input('Title: ')) F5运行后会出现： Please modify 'Gh0st2012.exe': Pos: 315Ch(12636d) Length: Less 30 bytes Title: 在“Title:”后面输入待测试标题，然后回车就会输出加密字节 2011-12-3 09:45 0
sharkxu 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sharkxu 19 楼首先拜一下上面的兄弟，这么周到。我比较懒，直接patch掉对解密函数的调用： 0044EDAE E8 6DFEFFFF call < 解密函数> //nop掉就OK了然后找到标题的原始密文： 0040315C 长度0x1D 字符串以零结束改成什么都可以了记得字符串以零结束。 2011-12-3 11:49 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 20 楼楼上兄弟第一贴慷慨送给了我感动哇呵呵我只是想让LZ明白原理知其然知其所以然 2011-12-3 12:42 0
fweizi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	fweizi 21 楼现在不能用啦呀郁闷呀 2011-12-5 21:14 0
士心雪币： 447 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	士心 22 楼学习一下，还有好多看不太懂呀！！ 2011-12-8 21:28 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 23 楼 0044EDAE想请教这个地址是如何追到的，我在内存00405b00处下硬件写入断点，始终到不了 0044edae这个地址啊 2012-1-24 21:43 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 24 楼 bp CreateWindowExA 修改第三个参数lpWindowName传入的指针不就搞定了?(把自己要的标题找个空白写进去) 2012-1-24 21:48 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 25 楼具体怎么修改指针啊大牛 2012-1-26 10:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

luodf

发帖

142

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 2 楼因为这个标题加密了 2011-11-30 21:30 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 3 楼哦我知道加密了，那该怎么解决呢说下方法啊 2011-11-30 22:34 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 4 楼我知道是标题加密了，尝试下字符串断点，可字符串断点怎么无法中断啊？下了断点，F9直接运行了。不中断啊，盼各位大牛指点下。我还是刚接触破解啊 2011-12-1 13:42 0
DaiHong 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	DaiHong 5 楼找到创建这个窗口(CreateWindow)的地方，有个参数指定拉这个窗口Caption，在那的去应该可以灭哦！ 2011-12-1 23:21 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 6 楼楼上的具体用什么方法啊说说操作 2011-12-2 12:45 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 7 楼 bp CreateWindowExA 第一次中断即可看到窗口标题，具体参考MSDN http://msdn.microsoft.com/en-us/library/ms632680(VS.85).aspx 注意第三个参数lpWindowName HWND WINAPI CreateWindowEx( __in DWORD dwExStyle, __in_opt LPCTSTR lpClassName, __in_opt LPCTSTR lpWindowName, __in DWORD dwStyle, __in int x, __in int y, __in int nWidth, __in int nHeight, __in_opt HWND hWndParent, __in_opt HMENU hMenu, __in_opt HINSTANCE hInstance, __in_opt LPVOID lpParam ); 具体看截图：修改后效果：上传的附件： bp CreateWindowEx.JPG （247.29kb，221次下载）主界面.png （39.73kb，220次下载） 2011-12-2 13:09 0
molong 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	molong 8 楼好像有毒啊不知道是不是 2011-12-2 14:20 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 9 楼没毒啊可能由于是远控吧 2011-12-2 14:22 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 10 楼按照playboysen的方法下断可以找到字符串，修改后保存，运行后标题怎么没改啊 2011-12-2 19:23 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 11 楼我找到了标题，并作如下图的修改，保存后标题无任何变化。试了好几次。没办法了，请教大牛们了！上传的附件： QQ截图未命名.png （54.28kb，194次下载） 2011-12-2 20:07 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 12 楼 bp CreateWindowExA 找到的只是解密后的标题而软件真正的标题是加密存在的你可以在00405B00处下硬件写入断点，然后Ctrl+F2重载程序，F9运行即可断下轻松找到解密处我用Python写了一个模拟加密算法，很简单，运行效果如下：模拟加密脚本： def encode(title): result = [] for i in range(len(title)): result.append(hex((ord(title[i])^9)+9)) result.append('0x00') return result print "Please modify 'Gh0st2012.exe':\nPos: 315Ch(12636d)\tLength: Less 30 bytes" print encode(raw_input('Title: ')) 加密后的标题内容位于软件315Ch字节处长度为30字节运行上面脚本，你可以自定义一个标题，然后根据返回的字节值用十六进制编辑器从315Ch处开始修改文件即可比如模拟修改为：修改后运行效果：上传的附件：图像 1.png （30.12kb，183次下载）图像 2.png （14.36kb，184次下载）图像 3.png （72.97kb，183次下载）图像 4.png （26.69kb，185次下载） 2011-12-2 21:42 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 13 楼哦看得不是很懂，你的脚本在哪啊怎么用呢 2011-12-2 21:52 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 14 楼刚按你说的，打开脚本如图： F5运行结果出错！如图：结束如图：上传的附件： QQ截图未命名1.png （18.91kb，172次下载） QQ截图未命名2.png （17.05kb，173次下载） QQ截图未命名3.png （12.55kb，173次下载） 2011-12-2 22:38 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 15 楼已经说了上述脚本是Python 2.X的而你安装的是Python 3.X Python高版本无法向下兼容完全不同的两个分支重新安装Python 2.7即可 2011-12-2 22:42 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 16 楼哦，mygod。谢谢你啊牛哥真的谢谢 2011-12-2 22:49 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 17 楼我打开脚本如图： F5运行后如图：没输出加密数据啊上传的附件： QQ截图未命名1.png （11.48kb，82次下载） QQ截图未命名2.png （18.75kb，82次下载） 2011-12-3 09:31 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 18 楼如果不太熟悉先不要随便改脚本原脚本这一句： print encode(raw_input('Title: ')) F5运行后会出现： Please modify 'Gh0st2012.exe': Pos: 315Ch(12636d) Length: Less 30 bytes Title: 在“Title:”后面输入待测试标题，然后回车就会输出加密字节 2011-12-3 09:45 0
sharkxu 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sharkxu 19 楼首先拜一下上面的兄弟，这么周到。我比较懒，直接patch掉对解密函数的调用： 0044EDAE E8 6DFEFFFF call < 解密函数> //nop掉就OK了然后找到标题的原始密文： 0040315C 长度0x1D 字符串以零结束改成什么都可以了记得字符串以零结束。 2011-12-3 11:49 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 20 楼楼上兄弟第一贴慷慨送给了我感动哇呵呵我只是想让LZ明白原理知其然知其所以然 2011-12-3 12:42 0
fweizi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	fweizi 21 楼现在不能用啦呀郁闷呀 2011-12-5 21:14 0
士心雪币： 447 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	士心 22 楼学习一下，还有好多看不太懂呀！！ 2011-12-8 21:28 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 23 楼 0044EDAE想请教这个地址是如何追到的，我在内存00405b00处下硬件写入断点，始终到不了 0044edae这个地址啊 2012-1-24 21:43 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 24 楼 bp CreateWindowExA 修改第三个参数lpWindowName传入的指针不就搞定了?(把自己要的标题找个空白写进去) 2012-1-24 21:48 0
luodf 雪币： 141 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 142 粉丝 0 关注私信	luodf 25 楼具体怎么修改指针啊大牛 2012-1-26 10:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复