-
-
[旧帖]
[原创]ip代理软件[申请邀请码]
0.00雪花
-
发表于:
2012-10-5 15:07
1833
-
[旧帖] [原创]ip代理软件[申请邀请码]
0.00雪花
网上下的一个ip代理软件。要收费,不交钱他就5分钟关闭一次。
用peid查了下 upx的壳。
用od打开停在这里
根据ESP值不变的原理 记下ESP的值 12FFC4
在00674331处下个断,主要看pushad后的堆栈
他把8个寄存器的值都入栈。这事ESP指向12FFA4,
当壳解压程序后就会访问这个地址的值来恢复寄存器。这里下个访问的断点
hr 12FFA4 按F9
006744B3 . FFD5 call ebp
006744B5 . 58 pop eax
006744B6 . 61 popad
006744B7 . 8D4424 80 lea eax, dword ptr [esp-80]
006744BB > 6A 00 push 0
006744BD . 39C4 cmp esp, eax
006744BF .^ 75 FA jnz short 006744BB
006744C1 . 83EC 80 sub esp, -80
006744C4 .- E9 B229E5FF jmp 004C6E7B
停在了Popad的下面
006744B7 . 8D4424 80 lea eax, dword ptr [esp-80]
这里离程序的入口点就在附近了 F8几步后
jmp 004C6E7B
到了OEP了;
然后就可以查找开弹出的字符串
双击来到汇编代码,在向上看了点后发现一个比较
0041898D 83C4 18 add esp, 18
00418990 E8 DCA5FFFF call 00412F71
00418995 8945 EC mov dword ptr [ebp-14], eax
00418998 837D EC 00 cmp dword ptr [ebp-14], 0
0041899C 0F85 85000000 jnz 00418A27
我们只要把jnz改成jz这样就程序就不会关闭了
为了测试结果 下载了个变速齿轮。打开后发现各种弹广告
我按CTRL+N 找了下 没发现ShellExecut 什么的
查了下字符串发现了一个网站
用浏览器打开这网址 各种弹网页。
双击来到汇编代码
004B94C2 BA EC944B00 mov edx,004B94EC;
在数据窗口ctrl+G来到004B94EC修改其值
然后保存文件 就不弹广告了。优易ip代理下来毒霸查有毒,有兴趣的可以自己下个。
希望求个邀请码
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课