首页
社区
课程
招聘
新手请教老师们一个小问题。请不吝赐教。
发表于: 2014-11-21 11:32 5370

新手请教老师们一个小问题。请不吝赐教。

2014-11-21 11:32
5370
一个软件向注册表中写入了一个值,值名称:Writeconnectionlog 值内容:dword:00000000

现在我想修改这个字的内容,我要如何定位到这个值上面呢?搜索文本字符串发现有很多Writeconnectionlog 这个名称,到底哪个才是对应这个值内容的修改呢?我要如何找到他?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
路过帮顶!
2014-11-21 11:33
0
雪    币: 180
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
好同学。谢谢!
2014-11-21 12:06
0
雪    币: 83
活跃值: (158)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
打开运行窗口  输入 regedit    然后 alt+f   然后输入Writeconnectionlog   就可以了
2014-11-21 12:34
0
雪    币: 180
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
你这个是操作注册表。我的意思是,这个软件每次打开时会自动的向注册表写入一些参数。我怎么修改软件第一次写入注册表的参数。是通过修改软件实现的。不是操作注册表啊。
2014-11-21 13:49
0
雪    币: 10
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
跟注册表相关函数 然后看参数就可以直接定位节了
2014-11-21 13:50
0
雪    币: 268
活跃值: (443)
能力值: ( LV9,RANK:375 )
在线值:
发帖
回帖
粉丝
7
运行个进程监控软件(如Process Monitor),应该能够记录下你的目标软件对注册表的操作行为,或者直接调试目标软件,跟一下注册表操作
2014-11-21 14:58
0
雪    币: 83
活跃值: (158)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
下 几个关键的注册表 API断点。RegOpenKeyA  等等之类,通过这些断点能定位到他软件中操作注册表的部分,然后你想怎么改都可以了。
2014-11-21 16:19
0
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
帮顶一下,跟各位学习!
2014-11-21 18:20
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
7楼   正解
2014-11-21 21:16
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习一下,菜鸟一个
2014-11-27 13:24
0
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
找这个软件在注册表中的位置,然后再找这个值。
2014-11-27 23:09
0
雪    币: 44
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
7楼的方法不错。可以试试
2014-11-28 00:28
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
好像很高深的样子
2014-11-28 01:21
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
学习一下吧
2014-11-28 09:03
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
题主是想改软件是吧?一楼描述还以为是想改注册表。
要改软件首先要知道这是在哪改的,最终反正都会到API上。我们就可以到API上下断点,说得简单,但有一些小技巧。
首先,注册表相关的API可能会断下很多次,所以需要一个筛选,看看什么时候断下的是我们需要的键。可以用条件记录断点下RegOpenKey,不知道题主用的是什么调试器,我用的是immdbg。在函数头下条件记录断点记下指向的Key名字,作为unicode解释,就可以了。
然后,我们还需要记录下对应的调用地址。我不知道怎么样可以让条件记录断点输出多个值,所以我选择的办法是在紧接着的语句上再下一个条件记录断点来输出返回地址。
最后就可以去分析Log看看哪里命中了你想记录的Key了。

还有一点就是,返回地址可能有很多都是一样的!因为软件作者可能对这个函数作了包装!这时候就可以下一个条件断点,比较Key字符串的一些值,相同就断下来,然后做栈回溯分析,真正的逆向就开始了!

以上都是不用写脚本就可以手动完成的,当然,如果写点脚本自动化就更方便了。
2014-11-28 13:16
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
没错 7楼可以的
2014-12-5 14:17
0
游客
登录 | 注册 方可回帖
返回
//