[原创]ultra系列最新的4kb优雅解决-资源下载-看雪-安全社区|安全招聘|kanxue.com

[原创]ultra系列最新的4kb优雅解决

发表于: 2015-5-13 12:47 3921

[原创]ultra系列最新的4kb优雅解决

menglv

2015-5-13 12:47

3921

采用特征码查找做的补丁，应该会支持新版本，除非改变加密方式。
三个字节搞定，有兴趣的可以比对一下就知道。
由于不懂c语言，所以dll是c+asm拼凑起来的，基本都是asm代码，所以效率应该不成问题。

下面是优雅补丁：
使用方法：将其放入相应的主程序目录即可
msimg32.rar

[课程]Linux pwn 探索篇！

上传的附件：

QQ五笔截图未命名.png （8.31kb，3次下载）
QQ五笔截图未命名1.png （11.96kb，2次下载）
QQ五笔截图未命名3.png （11.71kb，1次下载）
msimg32.rar （1.51kb，91次下载）

收藏・10

免费・0

支持

最新回复 (21)
mitzhgq 雪币： 197 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mitzhgq 2 楼真牛！！経検測可用！多謝了！ 2015-5-13 17:36 0
值得怀疑雪币： 2305 活跃值： (4554) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 356 粉丝 0 关注私信	值得怀疑 3 楼可以开源吗·！！ 2015-5-13 20:37 0
email123 雪币： 14179 活跃值： (3805) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 225 粉丝 1 关注私信	email123 4 楼大侠，写个教程学习学习吧 2015-5-13 20:37 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 5 楼 W7,W8 測試 OK! 感謝大大的分享. 2015-5-15 10:17 0
xjhma 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	xjhma 6 楼拜摩一下 2015-5-21 15:39 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 7 楼经测试，英文版也是可以用，应该通用所有语言. 2015-5-21 16:35 0
snowXZ 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 30 粉丝 0 关注私信	snowXZ 8 楼支持一下 2015-5-26 08:42 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 9 楼经过几个小版本升级，依然坚挺。 2015-5-27 22:01 0
Jackey 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	Jackey 10 楼非常不错，收藏 2015-5-29 14:06 0
[ID]ZE 雪币： 51 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 4 粉丝 1 关注私信	[ID]ZE 11 楼膜拜，经测试UE22.X系列Win7 32位旗舰版可用。 2015-8-31 00:48 0
lvtx 雪币： 2223 活跃值： (866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 127 粉丝 17 关注私信	lvtx 12 楼为了方便学习及避免杀软误杀，手脱了楼主的ASPack壳~ 不敢独享，发出来以前分享…… msimg32_unpacked.rar 上传的附件： msimg32_unpacked.rar （13.77kb，58次下载） 2015-9-6 13:07 0
uighursoft 雪币： 195 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	uighursoft 13 楼 9月11日更新的版本实效了，哎呦.... 2015-9-16 16:40 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 14 楼昨天已发pyg，明天更新一下。 2015-9-17 22:05 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 15 楼看似霸气 2015-9-17 23:30 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 16 楼更新为4kb的dll版本，使用模糊查找，应该更通用！ 2015-9-18 16:19 0
speedboy 雪币： 8537 活跃值： (2787) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 434 粉丝 0 关注私信	speedboy 17 楼追着新版本的脚步进步 2015-9-21 09:52 0
lvtx 雪币： 2223 活跃值： (866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 127 粉丝 17 关注私信	lvtx 18 楼 HMODULE m_hModule = GetModuleHandle(TEXT("ProtectionPlusDLL.dll")); if (m_hModule) { FARPROC fpAddress = GetProcAddress(m_hModule, "IsActivatedSoftwareKey"); if (fpAddress) { // 原始代码 //1003FAE0 > $ 8B0D B4C02A57 MOV ECX, DWORD PTR DS:[1056C0B4] //1003FAE6 . 32C0 XOR AL, AL //1003FAE8 . 85C9 TEST ECX, ECX //1003FAEA . 74 0D JZ SHORT 1003FAF9 //1003FAEC . 3881 460B0000 CMP BYTE PTR DS:[ECX+00000B46], AL //1003FAF2 . 74 05 JE SHORT 1003FAF9 //1003FAF4 . E9 C7A7FEFF JMP 1002A2C0 //1003FAF9 . C3 RETN // 修改代码 //1003FAE0 > $ 8B0D B4C02A57 MOV ECX, DWORD PTR DS:[1056C0B4] //1003FAE6 . B0 01 MOV AL, 0x1 //1003FAE8 . 85C9 TEST ECX, ECX //1003FAEA . EB 0D JMP SHORT 1003FAF9 //1003FAEC . 3881 460B0000 CMP BYTE PTR DS:[ECX+00000B46], AL //1003FAF2 . 74 05 JE SHORT 1003FAF9 //1003FAF4 . E9 C7A7FEFF JMP 1002A2C0 //1003FAF9 . C3 RETN DWORD lpflOldProtect; DWORD dwAddress = (DWORD)fpAddress; VirtualProtect(fpAddress, 0x1A, PAGE_EXECUTE_READWRITE, &lpflOldProtect); if ((WORD)(dwAddress + 0x06) == 0xC032) (WORD)(dwAddress + 0x06) = 0x01B0; if ((WORD)(dwAddress + 0x0A) == 0x0D74) (WORD)(dwAddress + 0x0A) = 0x0DEB; VirtualProtect(fpAddress, 0x1A, lpflOldProtect, &lpflOldProtect); } } 这样就不需要使用ASM代码了！ 2015-9-21 21:17 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 19 楼其实是我不懂c语言，所以用asm代码来拼凑！ 2015-9-22 14:18 0
huangwen 雪币： 411 活跃值： (376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 1 关注私信	huangwen 20 楼更新到UE 22.20.0.34 失效 2015-10-14 15:21 0
heishadow 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	heishadow 21 楼真牛！！経検測可用！多謝了！ 2015-10-17 16:50 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 22 楼之前没有注意留言，确实是很不错的方法，谢谢分享。 2015-10-17 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

menglv

发帖

770

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
mitzhgq 雪币： 197 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mitzhgq 2 楼真牛！！経検測可用！多謝了！ 2015-5-13 17:36 0
值得怀疑雪币： 2305 活跃值： (4554) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 356 粉丝 0 关注私信	值得怀疑 3 楼可以开源吗·！！ 2015-5-13 20:37 0
email123 雪币： 14179 活跃值： (3805) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 225 粉丝 1 关注私信	email123 4 楼大侠，写个教程学习学习吧 2015-5-13 20:37 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 5 楼 W7,W8 測試 OK! 感謝大大的分享. 2015-5-15 10:17 0
xjhma 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	xjhma 6 楼拜摩一下 2015-5-21 15:39 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 7 楼经测试，英文版也是可以用，应该通用所有语言. 2015-5-21 16:35 0
snowXZ 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 30 粉丝 0 关注私信	snowXZ 8 楼支持一下 2015-5-26 08:42 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 9 楼经过几个小版本升级，依然坚挺。 2015-5-27 22:01 0
Jackey 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	Jackey 10 楼非常不错，收藏 2015-5-29 14:06 0
[ID]ZE 雪币： 51 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 4 粉丝 1 关注私信	[ID]ZE 11 楼膜拜，经测试UE22.X系列Win7 32位旗舰版可用。 2015-8-31 00:48 0
lvtx 雪币： 2223 活跃值： (866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 127 粉丝 17 关注私信	lvtx 12 楼为了方便学习及避免杀软误杀，手脱了楼主的ASPack壳~ 不敢独享，发出来以前分享…… msimg32_unpacked.rar 上传的附件： msimg32_unpacked.rar （13.77kb，58次下载） 2015-9-6 13:07 0
uighursoft 雪币： 195 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	uighursoft 13 楼 9月11日更新的版本实效了，哎呦.... 2015-9-16 16:40 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 14 楼昨天已发pyg，明天更新一下。 2015-9-17 22:05 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 15 楼看似霸气 2015-9-17 23:30 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 16 楼更新为4kb的dll版本，使用模糊查找，应该更通用！ 2015-9-18 16:19 0
speedboy 雪币： 8537 活跃值： (2787) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 434 粉丝 0 关注私信	speedboy 17 楼追着新版本的脚步进步 2015-9-21 09:52 0
lvtx 雪币： 2223 活跃值： (866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 127 粉丝 17 关注私信	lvtx 18 楼 HMODULE m_hModule = GetModuleHandle(TEXT("ProtectionPlusDLL.dll")); if (m_hModule) { FARPROC fpAddress = GetProcAddress(m_hModule, "IsActivatedSoftwareKey"); if (fpAddress) { // 原始代码 //1003FAE0 > $ 8B0D B4C02A57 MOV ECX, DWORD PTR DS:[1056C0B4] //1003FAE6 . 32C0 XOR AL, AL //1003FAE8 . 85C9 TEST ECX, ECX //1003FAEA . 74 0D JZ SHORT 1003FAF9 //1003FAEC . 3881 460B0000 CMP BYTE PTR DS:[ECX+00000B46], AL //1003FAF2 . 74 05 JE SHORT 1003FAF9 //1003FAF4 . E9 C7A7FEFF JMP 1002A2C0 //1003FAF9 . C3 RETN // 修改代码 //1003FAE0 > $ 8B0D B4C02A57 MOV ECX, DWORD PTR DS:[1056C0B4] //1003FAE6 . B0 01 MOV AL, 0x1 //1003FAE8 . 85C9 TEST ECX, ECX //1003FAEA . EB 0D JMP SHORT 1003FAF9 //1003FAEC . 3881 460B0000 CMP BYTE PTR DS:[ECX+00000B46], AL //1003FAF2 . 74 05 JE SHORT 1003FAF9 //1003FAF4 . E9 C7A7FEFF JMP 1002A2C0 //1003FAF9 . C3 RETN DWORD lpflOldProtect; DWORD dwAddress = (DWORD)fpAddress; VirtualProtect(fpAddress, 0x1A, PAGE_EXECUTE_READWRITE, &lpflOldProtect); if ((WORD)(dwAddress + 0x06) == 0xC032) (WORD)(dwAddress + 0x06) = 0x01B0; if ((WORD)(dwAddress + 0x0A) == 0x0D74) (WORD)(dwAddress + 0x0A) = 0x0DEB; VirtualProtect(fpAddress, 0x1A, lpflOldProtect, &lpflOldProtect); } } 这样就不需要使用ASM代码了！ 2015-9-21 21:17 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 19 楼其实是我不懂c语言，所以用asm代码来拼凑！ 2015-9-22 14:18 0
huangwen 雪币： 411 活跃值： (376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 1 关注私信	huangwen 20 楼更新到UE 22.20.0.34 失效 2015-10-14 15:21 0
heishadow 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	heishadow 21 楼真牛！！経検測可用！多謝了！ 2015-10-17 16:50 0
menglv 雪币： 10910 活跃值： (3279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 81 回帖 770 粉丝 8 关注私信	menglv 22 楼之前没有注意留言，确实是很不错的方法，谢谢分享。 2015-10-17 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复