首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] 关于内存写入监视器的一个问题 0.00雪花
发表于: 2012-11-30 12:52 6563

[旧帖] 关于内存写入监视器的一个问题 0.00雪花

小木鱼 活跃值
2012-11-30 12:52
6563
希望有使用过“内存监视器”的朋友,能帮忙解答这个问题,软件包含“启动器+主程序”,启动器带本地验证,监视到得代码如下:

****************************************
监视进程PID:[3896] 写入地址:[00010000] 数据长度:[1884]
写入数据:3D 0 3A 0 3A 0 3D 0 3A 0 3A 0 5C 0 0 0 41 0 4C 0 4C 0 55 0 53 0 45 0 52 0 53 0 50 0 52 0 4F 0 46 0 49 0 4C 0 45 0 3D 0 43 0 3A 0 5C 0 44 0 6F 0 63 0 75 0 6D 0 65 0 6E 0 74 0 73 0 20 0 61 0 6E 0 64 0 20 0 53 0 65 0 74 0 74 0 69 0 6E 0 67 0 73 0 5C 0 41 0 6C 0 6C 0 20 0 55 0 73 0 65 0 72 0 73 0 0 0 41 0 50 0 50 0 44 0 41 0 54 0 41 0 3D 0 43 0 3A 0 5C 0 44 0 6F 0 63 0 75 0 6D 0 65 0 6E 0 74 0 73 0 20 0 61 0 6E 0 64 0 20 0 53 0 65 0 74 0 74 0 69 0 6E 0 67 0 73 0 5C 0 41 0 64 0 6D 0 69 0 6E 0 69 0 73 0 74 0 72 0 61 0 74 0 6F 0 72 0 5C 0 41 0 70 0 70 0 6C 0 69 0 63 0 61 0 74 0 69 0 6F 0 6E 0 20 0 44 0 61 0 74 0 61 0 0 0 43 0 4C 0 49 0 45 0 4E 0 54 0 4E 0 41 0 4D 0 45 0 3D 0 43 0 6F 0 6E 0 73 0 6F 0 6C 0 65 0 0 0 43 0 6F 0 6D 0 6D 0 6F 0 6E 0 50 0 72 0 6F 0 67 0 72 0 61 0 6D 0 46 0 69 0 6C 0 65 0 73 0 3D 0 43 0 3A 0 5C 0 50 0 72 0 6F 0 67 0 72 0 61 0 6D 0 20 0 46 0 69 0 6C 0 65 0 73 0 5C 0 43 0 6F 0 6D 0 6D 0 6F 0 6E 0 20 0 46 0 69 0 6C 0 65 0 73 0 0 0 43 0 4F 0 4D 0 50 0 55 0 54 0 45 0 52 0 4E 0 41 0 4D 0 45 0 3D 0
****************************************
监视进程PID:[3896] 写入地址:[00020000] 数据长度:[1908]
写入数据:0 10 0 0 74 7 0 0 0 20 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 6A 0 8 2 90 2 0 0 0 0 0 0 3E 1 40 1 98 4 0 0 7A 0 7C 0 D8 5 0 0 7E 0 80 0 54 6 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 1 0 0 0 7A 0 7C 0 D4 6 0 0 1E 0 20 0 50 7 0 0 0 0 2 0 70 7 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
****************************************
监视进程PID:[3896] 写入地址:[7FFDE010] 数据长度:[4]
写入数据:0 0 2 0
****************************************
监视进程PID:[3896] 写入地址:[7FFDE1E8] 数据长度:[4]
写入数据:0 0 0 0


疑问:
1、后面两代码写入字节比较短,应该是写入主程序内存代码吧?
2、前面两代码,写入字节很长,不知道是不是封包数据!

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (5)
小林先生
雪    币: 137
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
就发这么点东西出来 谁知道呢?
你不是有程序 去看看就知道了啊
2012-11-30 13:42
0
天佑战士
雪    币: 198
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
cmp eax, 00A00300h
cmp al, byte ptr [eax]
add edx, eax
add byte ptr [edx], bh
add byte ptr [ebx], al
mov al, byte ptr [00005C00h]
add byte ptr [eax+edx], al
add byte ptr [eax+eax+04h], cl
rol byte ptr [eax], 00000055h
add byte ptr [00450030h], al
add eax, 00530020h
add eax, 00520000h
add al, F0h
add byte ptr [esi+00h], al
add al, 90h
add byte ptr [eax+eax+04h], cl
push eax
add byte ptr [00300400h], bh
cmp al, byte ptr [eax]
add eax, 004400C0h
push es
lock add byte ptr [ebx+00h], ah
pop es
push eax
add byte ptr [ebp+00h], ch
push es
push eax
add byte ptr [esi+00h], ch
pop es
inc eax
add byte ptr [ebx+00h], dh
add al, byte ptr [eax]
add byte ptr [ecx+00h], ah
push es
loopne label1
label1:
add byte ptr fs:[edx], al
add byte ptr [eax], al
push ebx
add byte ptr [esi], al
push eax
add byte ptr [eax+eax+07h], dh
inc eax
add byte ptr [ecx+00h], ch
push es
loopne label2
label2:
add byte ptr [bx], al
xor byte ptr [eax], al
pop esp
add byte ptr [eax+edx], al
add byte ptr [eax+eax+06h], ch
rol byte ptr [eax], 00000020h
add byte ptr [00730050h], al
push es
push eax
add byte ptr [edx+00h], dh
pop es
xor byte ptr [eax], al
add byte ptr [eax], al
inc ecx
add byte ptr [00500000h], al
add al, 40h
add byte ptr [ecx+00h], al
add eax, 00410040h
add edx, eax
add byte ptr [ebx+00h], al
add esp, dword ptr [eax+04005C00h]
inc eax
add byte ptr [edi+00h], ch
push es
xor byte ptr [eax], al
jne label3
label3:
push es
rol byte ptr [eax], 1
add byte ptr [esi], al
loopne label4
label4:
je label5
label5:
pop es
xor byte ptr [eax], al
and byte ptr [eax], al
push es
adc byte ptr [eax], al
outsb
add byte ptr [esi], al
inc eax
add byte ptr [eax], ah
add byte ptr [00650030h], al
pop es
inc eax
add byte ptr [eax+eax+06h], dh
nop
add byte ptr [esi+00h], ch
push es
jo label6
label6:
jnc label7
label7:
add eax, 004100C0h
push es
inc eax
add byte ptr [ebp+00h], ch
push es
nop
add byte ptr [esi+00h], ch
push es
nop
add byte ptr [ebx+00h], dh
pop es
inc eax
add byte ptr [edx+00h], dh
push es
adc byte ptr [eax], al
je label8
label8:
push es
lock add byte ptr [edx+00h], dh
add eax, 004100C0h
pop es
add byte ptr [eax], al
jo label9
label9:
push es
rol byte ptr [eax], 00000069h
add byte ptr [esi], al
xor byte ptr [eax], al
popad
add byte ptr [edi], al
inc eax
add byte ptr [ecx+00h], ch
push es
lock add byte ptr [esi+00h], ch
add al, byte ptr [eax]
add byte ptr [eax+eax+06h], al
adc byte ptr [eax], al
je label10
label10:
push es
adc byte ptr [eax], al
add byte ptr [eax], al
inc ebx
add byte ptr [eax+eax*8], al
add byte ptr [ecx+00h], cl
add al, 50h
add byte ptr [esi+00h], cl
add eax, 004E0040h
add al, 10h
add byte ptr [ebp+00h], cl
add al, 50h
add byte ptr [00300400h], bh
outsd
add byte ptr [esi], al
loopne label11
label11:
jnc label12
label12:
push es
lock add byte ptr [eax+eax+06h], ch
push eax
add byte ptr [eax], al
add byte ptr [ebx+00h], al
push es
lock add byte ptr [ebp+00h], ch
push es
rol byte ptr [eax], 1
outsd
add byte ptr [esi], al
loopne label13
label13:
push eax
add byte ptr [edi], al
and byte ptr [eax], al
outsd
add byte ptr [esi], al
jo label14
label14:
jc label15
label15:
push es
adc byte ptr [eax], al
insd
add byte ptr [eax], al
add byte ptr [ecx+00h], ch
push es
rol byte ptr [eax], 00000065h
add byte ptr [edi], al
xor byte ptr [eax], al
cmp eax, 00300400h
cmp al, byte ptr [eax]
add eax, 005000C0h
pop es
and byte ptr [eax], al
outsd
add byte ptr [esi], al
jo label16
label16:
jc label17
label17:
push es
adc byte ptr [eax], al
insd
add byte ptr [edx], al
add byte ptr [eax], al
inc esi
add byte ptr [esi], al
nop
add byte ptr [eax+eax+06h], ch
push eax
add byte ptr [ebx+00h], dh
add eax, 004300C0h
push es
lock add byte ptr [ebp+00h], ch
push es
rol byte ptr [eax], 1
outsd
add byte ptr [esi], al
loopne label18
label18:
and byte ptr [eax], al
add al, 60h
add byte ptr [ecx+00h], ch
push es
rol byte ptr [eax], 00000065h
add byte ptr [edi], al
xor byte ptr [eax], al
add byte ptr [eax], al
inc ebx
add byte ptr [eax+esi*8], al
add byte ptr [ebp+00h], cl
add eax, 00550000h
add eax, 00450040h
add eax, 004E0020h
add al, 10h
add byte ptr [ebp+00h], cl
add al, 50h
add al, 50h

add byte ptr [eax], dl
add byte ptr [eax], al
pop es
inc eax
jo label1
label1:
add byte ptr [eax], al
and byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [esi], al
mov al, byte ptr [90208000h]
add al, byte ptr [eax]
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [ebx], al
loopne label2
inc eax
add dword ptr [ecx], ecx
add byte ptr [eax+00h], 00000000h
jp label3
label3:
pop es
rol byte ptr [eax], FFFFFFD8h
add eax, E0070000h
add byte ptr [eax+60400500h], al
add byte ptr [eax], al
add byte ptr [eax], al
adc byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
adc byte ptr [eax], al
add byte ptr [eax], al
adc byte ptr [eax], al
add byte ptr [eax], al
jp label4
label4:
pop es
rol byte ptr [eax], FFFFFFD4h
push es
add byte ptr [eax], al
add eax, esp
add byte ptr [eax], ah
add byte ptr [00007000h], al
add byte ptr [eax], al
and byte ptr [eax], al
jo label5
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
add byte ptr [eax], al
2012-11-30 16:13
0
墨非
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
又一大神,在看一眼数据就写出了有效的算法。牛啊,学习了
2012-12-10 12:45
0
偷得浮生
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
一眼望过去全是问号,什么都不懂
2012-12-26 22:59
0
hrpirip
雪    币: 55
活跃值: (519)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
6
前面两个不知道,后面两个写api的。
2013-1-1 07:10
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//