[原创]windbg分析win7扫雷-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]windbg分析win7扫雷

发表于: 2012-12-11 23:29 19126

[原创]windbg分析win7扫雷

shwsf

2012-12-11 23:29

19126

在坛子里搜索了几个win7扫雷的帖子，帮助挺大，搞得头也挺大，干脆自己来，自己动手丰衣足食。最后修改方案只有1个，来不及了。
    今天年休完，明天又要上班了，方案1源码也尚未完成，得空再搞！
第一次发贴，请见谅！

这篇文章加精应该没有问题
上传的截图是我把地雷都改为按123456789 10排列了

观察016b64e0（这个数据每次游戏都会变化）
016b64e0 02 00 00 00 2c 00 00 00 25 00 00 00 2b 00 00 00 44 00  ....,...%...+...D.
016b64f2 00 00 05 00 00 00 4d 00 00 00 4b 00 00 00 00 00 00 00  ......M...K.......
把上面的10个随机数改为你想要的，如：(改为按123456789 10排列)
016b64e0 00 00 00 00 01 00 00 00 02 00 00 00 03 00 00 00 04 00  ..................
016b64f2 00 00 05 00 00 00 06 00 00 00 07 00 00 00 08 00 00 00  ..................
016b6504 09 00 00 00

详细情况请看附件。

另外，外挂源码因为win7的原因，每次重启动系统都失效，正在查找原因，不久将上传。
也请大侠指点一二！

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

windbg分析win7扫雷.doc （522.50kb，785次下载）
win7扫雷无敌.png （98.22kb，124次下载）

收藏・18

免费・6

支持

最新回复 (24)
email123 雪币： 15007 活跃值： (4105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 227 粉丝 1 关注私信	email123 2 楼 lz多出些windbg分析调试的文章啊，多谢分享，学习了 2012-12-12 00:05 0
fy风云雪币： 60 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	fy风云 1 3 楼支持，最近也在学习windbg，顶一个 2012-12-12 00:09 0
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 362 粉丝 0 关注私信	wrgg 4 楼支持对windbg了解得还比较少 2012-12-12 00:25 0
gokuson 雪币： 3337 活跃值： (2782) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	gokuson 5 楼下来看看 2012-12-12 00:29 0
lukelqz 雪币： 484 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	lukelqz 6 楼楼主好厉害 2012-12-12 12:16 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 7 楼学习，，，。 2012-12-12 19:03 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 8 楼 win7存在随机化基址ASLR 把地址加上基址就行了 2012-12-12 20:48 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 9 楼学习了，多谢分享！ 2012-12-12 21:51 0
shwsf 雪币： 327 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	shwsf 1 10 楼能说具体点吗？我参考《Vista 的扫雷》，在这里顺便向大侠wenglingok膜拜下！！ http://bbs.pediy.com/showthread.php?t=40295 这是修改的代码： //在进程内存中寻找程序入口点 unsigned char byteCode = 0 ; DWORD dwCode ,dwCodeAddress = 0x0c9e ; while ( true ) { ::ReadProcessMemory ( hProcess ,(LPCVOID)dwCodeAddress ,&byteCode ,1 ,NULL ); if ( byteCode == 0xE8 ) { ::ReadProcessMemory ( hProcess ,(LPCVOID)(dwCodeAddress+1) ,&dwCode ,4 ,NULL ); if ( dwCode == 0xf418 ) { ::ReadProcessMemory ( hProcess ,(LPCVOID)(dwCodeAddress+6) ,&dwCode ,4 ,NULL ); if ( dwCode == 0xFFFF ) break; else dwCodeAddress += 0x10000 ; } else dwCodeAddress += 0x10000 ; } else dwCodeAddress += 0x10000 ; } dwCodeAddress &= 0xFFFF0000 ; 这段代码，效率比较低，在win7里也不好用了 2012-12-12 22:20 0
yyyang 雪币： 822 活跃值： (279) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 11 楼正在学windbg 顶一个 2012-12-12 22:28 0
shwsf 雪币： 327 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	shwsf 1 12 楼班主有没验货,不让加精，郁闷。。。我自己顶一个!~ 截图通过算法,修改生成的随机数,才能让地雷乖乖地按顺序排列. 我网上搜索了N多次，没人把win7扫雷分析的浅现易懂。分析完了在看雪搜索，倒是找到一篇好文章。《Vista 的扫雷》：http://bbs.pediy.com/showthread.php?t=40295 2012-12-13 09:23 0
shwsf 雪币： 327 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	shwsf 1 13 楼下载的人还是挺多的,顶帖的人是挺少的,郁闷ing,这是为什么呢?! 2012-12-16 10:38 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 14 楼 mark!!!!!!!! 2012-12-16 11:46 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 15 楼写的不咋地。 2012-12-16 12:04 0
tzl 雪币： 234 活跃值： (1659) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 16 楼分析的很好，学习了。 2012-12-16 18:27 0
小力者雪币： 77 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	小力者 17 楼支持，windbg好工具，希望多分享 2012-12-16 19:28 0
shwsf 雪币： 327 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	shwsf 1 18 楼谢谢鼓励！本文重点是分析布雷函数现正在学习开发外挂，想在以下2处hook 1.[edi+0Ch]转存产生的10个随机数 2.[esi+44h]，这里存放每列实际的布雷情况另：新年就快到了，祝看雪所有的大侠和小侠们奖金多多，红包多多！！ 2012-12-16 20:53 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 19 楼对windbg了解得还比较少 2012-12-18 07:04 0
imitation 雪币： 65 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 1 关注私信	imitation 20 楼 [QUOTE=shwsf;1126136]谢谢鼓励！本文重点是分析布雷函数现正在学习开发外挂，想在以下2处hook 1.[edi+0Ch]转存产生的10个随机数 2.[esi+44h]，这里存放每列实际的布雷情况另：新年就快到了，祝看雪所有的大侠和小侠们奖金多多，红包多多！！[/QUOTE] 学生仔一名，无奖金无红包。。。文章下下来看看看，嘿嘿 2012-12-18 22:53 0
迷魂雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 0 关注私信	迷魂 21 楼 windb不了解，多学习学习！ 2012-12-19 00:04 0
appview 雪币： 721 活跃值： (3782) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 22 楼感谢lz分享，学习下WinDbg 2012-12-20 22:29 0
xingbing 雪币： 175 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 23 楼对windbg了解得还比较少 2012-12-23 15:14 0
lalalaba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	lalalaba 24 楼 “WARNING: Stack unwind information not available. Following frames may be wrong.” 怎么解决？ 2013-1-16 11:11 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 25 楼其实每次变是基地址变了 GetMoudleHandle+xx这个偏移肯定是最终的 2013-1-19 15:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shwsf

发帖

回帖

RANK

关注

私信

他的文章

[求助]新装win7旗舰版无法扫雷 7864
[原创]windbg分析win7扫雷 19127

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
email123 雪币： 15007 活跃值： (4105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 227 粉丝 1 关注私信	email123 2 楼 lz多出些windbg分析调试的文章啊，多谢分享，学习了 2012-12-12 00:05 0
fy风云雪币： 60 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	fy风云 1 3 楼支持，最近也在学习windbg，顶一个 2012-12-12 00:09 0
wrgg 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 362 粉丝 0 关注私信	wrgg 4 楼支持对windbg了解得还比较少 2012-12-12 00:25 0
gokuson 雪币： 3337 活跃值： (2782) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	gokuson 5 楼下来看看 2012-12-12 00:29 0
lukelqz 雪币： 484 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	lukelqz 6 楼楼主好厉害 2012-12-12 12:16 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 7 楼学习，，，。 2012-12-12 19:03 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 8 楼 win7存在随机化基址ASLR 把地址加上基址就行了 2012-12-12 20:48 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 9 楼学习了，多谢分享！ 2012-12-12 21:51 0
shwsf 雪币： 327 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	shwsf 1 10 楼能说具体点吗？我参考《Vista 的扫雷》，在这里顺便向大侠wenglingok膜拜下！！ http://bbs.pediy.com/showthread.php?t=40295 这是修改的代码： //在进程内存中寻找程序入口点 unsigned char byteCode = 0 ; DWORD dwCode ,dwCodeAddress = 0x0c9e ; while ( true ) { ::ReadProcessMemory ( hProcess ,(LPCVOID)dwCodeAddress ,&byteCode ,1 ,NULL ); if ( byteCode == 0xE8 ) { ::ReadProcessMemory ( hProcess ,(LPCVOID)(dwCodeAddress+1) ,&dwCode ,4 ,NULL ); if ( dwCode == 0xf418 ) { ::ReadProcessMemory ( hProcess ,(LPCVOID)(dwCodeAddress+6) ,&dwCode ,4 ,NULL ); if ( dwCode == 0xFFFF ) break; else dwCodeAddress += 0x10000 ; } else dwCodeAddress += 0x10000 ; } else dwCodeAddress += 0x10000 ; } dwCodeAddress &= 0xFFFF0000 ; 这段代码，效率比较低，在win7里也不好用了 2012-12-12 22:20 0
yyyang 雪币： 822 活跃值： (279) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 11 楼正在学windbg 顶一个 2012-12-12 22:28 0
shwsf 雪币： 327 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	shwsf 1 12 楼班主有没验货,不让加精，郁闷。。。我自己顶一个!~ 截图通过算法,修改生成的随机数,才能让地雷乖乖地按顺序排列. 我网上搜索了N多次，没人把win7扫雷分析的浅现易懂。分析完了在看雪搜索，倒是找到一篇好文章。《Vista 的扫雷》：http://bbs.pediy.com/showthread.php?t=40295 2012-12-13 09:23 0
shwsf 雪币： 327 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	shwsf 1 13 楼下载的人还是挺多的,顶帖的人是挺少的,郁闷ing,这是为什么呢?! 2012-12-16 10:38 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 14 楼 mark!!!!!!!! 2012-12-16 11:46 0
darkplayer 雪币： 284 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 151 粉丝 0 关注私信	darkplayer 15 楼写的不咋地。 2012-12-16 12:04 0
tzl 雪币： 234 活跃值： (1659) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 16 楼分析的很好，学习了。 2012-12-16 18:27 0
小力者雪币： 77 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	小力者 17 楼支持，windbg好工具，希望多分享 2012-12-16 19:28 0
shwsf 雪币： 327 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	shwsf 1 18 楼谢谢鼓励！本文重点是分析布雷函数现正在学习开发外挂，想在以下2处hook 1.[edi+0Ch]转存产生的10个随机数 2.[esi+44h]，这里存放每列实际的布雷情况另：新年就快到了，祝看雪所有的大侠和小侠们奖金多多，红包多多！！ 2012-12-16 20:53 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 19 楼对windbg了解得还比较少 2012-12-18 07:04 0
imitation 雪币： 65 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 1 关注私信	imitation 20 楼 [QUOTE=shwsf;1126136]谢谢鼓励！本文重点是分析布雷函数现正在学习开发外挂，想在以下2处hook 1.[edi+0Ch]转存产生的10个随机数 2.[esi+44h]，这里存放每列实际的布雷情况另：新年就快到了，祝看雪所有的大侠和小侠们奖金多多，红包多多！！[/QUOTE] 学生仔一名，无奖金无红包。。。文章下下来看看看，嘿嘿 2012-12-18 22:53 0
迷魂雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 0 关注私信	迷魂 21 楼 windb不了解，多学习学习！ 2012-12-19 00:04 0
appview 雪币： 721 活跃值： (3782) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 22 楼感谢lz分享，学习下WinDbg 2012-12-20 22:29 0
xingbing 雪币： 175 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 23 楼对windbg了解得还比较少 2012-12-23 15:14 0
lalalaba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	lalalaba 24 楼 “WARNING: Stack unwind information not available. Following frames may be wrong.” 怎么解决？ 2013-1-16 11:11 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 25 楼其实每次变是基地址变了 GetMoudleHandle+xx这个偏移肯定是最终的 2013-1-19 15:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复