首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
一个DLL文件调试的问题
发表于: 2004-6-17 13:29 7774

一个DLL文件调试的问题

snoweer 活跃值
2004-6-17 13:29
7774
前几日偶得一传奇赤月1073外挂,测试下来功能没任何问题,是我见过的唯一真正好用的好外挂。可惜被内置了木马程序。
大概原理如下:运行后记录用户名密码,如果电脑中有特定的防火墙或防病毒程序,就不发邮件,如果没有,就过了5-10分钟左右通过通过mir.dat(传奇游戏主程序)加载的patch.dll发送带有用户帐号和密码的邮件,由于并不是外挂直接发送邮件,具有很大的隐蔽性。这个patch.dll兼有绕过网络验证的功能,所以还是需要的。我现在自己动手尝试修改这个DLL,已脱壳,是ASPACK2。12的壳,但是无从下手,不知道怎么下断点调试。
请各位高手提供思路。改怎么修改该DLL,使之不再发送邮件?
下面是原始程序,调试成功的请贴出修改思路。谢谢!斑竹手下留情!点击下载:附件! 点击下载:附件!
顺便说一下,喜欢玩传奇的朋友。如果选择了法师或道士职业。那这个外挂只要把里面的马去掉。绝对是NO。1(题外话:))
问题已解决。谢谢朋友们帮助!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
最新回复 (18)
Leaders
雪    币: 258
活跃值: (95)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
修改那三个邮件地址,使之发送不成功。。。。。。
2004-6-17 20:36
0
laoqian
雪    币: 332
活跃值: (479)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
3
直接把发送邮件的API函数,nop掉。
2004-6-18 09:02
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
是不是一定要动态调试?我怎么下断点?
2004-6-18 11:10
0
曾半仙
雪    币: 3758
活跃值: (3312)
能力值: ( LV15,RANK:500 )
在线值:
发帖
回帖
粉丝
私信
5
10005150
"From: "
"To: "
"Subject: "....
偷懒的话,你把To改为xx发邮件功能就坏掉了.
发送邮件没有API函数,dll里面也没有三个地址.
2004-6-18 12:52
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
谢谢提示。我去试试。
防火墙会提示这个IP:202.108.252.140:25
目标DNS:SMTP.163.COM
10005150 ----这个代表什么??
2004-6-18 15:09
0
曾半仙
雪    币: 3758
活跃值: (3312)
能力值: ( LV15,RANK:500 )
在线值:
发帖
回帖
粉丝
私信
7
地址10005150
这个我看是完成邮件发送的一个类的方法,要不然是作者程序中编写的发送邮件函数
2004-6-18 16:06
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
你是用什么工具调试的?能稍微具体点指教一下吗?多谢了!
2004-6-18 16:45
0
曾半仙
雪    币: 3758
活跃值: (3312)
能力值: ( LV15,RANK:500 )
在线值:
发帖
回帖
粉丝
私信
9
脱掉壳以后我用IDA反汇编的.
脱壳用的是unaspack 1.2.1.3
用Olly的话,地址是一样的,
我没有调试,静态分析的
2004-6-18 18:07
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
谢谢!
2004-6-19 02:39
0
啊CR
雪    币: 623
活跃值: (10)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
11
这个 做外挂的心太黑了??!!
2004-6-19 03:01
0
啊CR
雪    币: 623
活跃值: (10)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
12
有一传奇外挂
ASPACK加壳
脱壳后运行
重起你的电脑
直到永远

他在注册表中加了个自启动成序
在安全模式下修改回来就好了

把相应代码改掉

就完活了!!!!!!!!!
2004-6-19 03:05
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
做外挂的心还好。是破外挂的那个人心黑。写了个DLL绕过网络验证,但是加了个马。。
12楼。。你的话我怎么看不大懂呀
哎呀。。我还是搞不定啊!!谁能说详细点吗??跪求啊!!
2004-6-19 13:58
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
555,我的问题没人理了吗?还没搞定呢。
2004-6-20 23:02
0
曾半仙
雪    币: 3758
活跃值: (3312)
能力值: ( LV15,RANK:500 )
在线值:
发帖
回帖
粉丝
私信
15
偷懒的话,你把To改为xx发邮件功能就坏掉了.
偷懒的话,你把To改为xx发邮件功能就坏掉了.
2004-6-20 23:27
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
最初由 曾半仙 发布
10005150
"From: "
"To: "
"Subject: "....
偷懒的话,你把To改为xx发邮件功能就坏掉了.
发送邮件没有API函数,dll里面也没有三个地址.


半仙,
谢谢你多次指教。unaspack 1.2.1.3这个版本我怎么搜索不到。我找了很久也找不到。
我用其他的脱了壳。地址不一样。
我已经把To改为xx,它还是发邮件。。。
看来我太菜了。。。
请继续指导~~~
2004-6-21 08:46
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
高手们继续支持一下小弟呀!
2004-6-24 15:01
0
hyzhang
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
呵呵,to改了后它是还要发邮件的,只不过发不成功了,行了
2004-6-24 21:35
0
snoweer
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
谢谢!!我的防火墙检测到它还是发邮件!我以为没搞定。。。
2004-6-25 10:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//