[原创]MicrosoftIE首页保护算法完整逆向工程.-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]MicrosoftIE首页保护算法完整逆向工程.

发表于: 2015-8-9 15:25 18036

[原创]MicrosoftIE首页保护算法完整逆向工程.

猪会被杀掉

2015-8-9 15:25

18036

查看主题内容

收藏・36

免费・3

支持

最新回复 (45) ◀ 1 2
破九雪币： 19 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 287 粉丝 1 关注私信	破九 26 楼我感觉双方都不对，评论者不应该那么说，但是LZ语言太过激进了。 2015-8-16 12:06 0
CRoot 雪币： 3343 活跃值： (1243) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 27 楼麻烦楼主来点注释可好特别是IDA F5后的那段代码有点看不懂 2015-8-17 18:19 0
basketwill 雪币： 1991 活跃值： (1506) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 28 楼嗯，支持楼主，我逆向了大概 360 所有浏览器、 chrome以及其他什么等等的校验算法并不是如某些人说的什么一个F5就搞定，要真是一个F5就搞定那校验保护何在？，有的浏览器逆向出完整算法用了3个星期的不停跟踪！ 2015-8-18 09:30 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 29 楼看来你们都纠结在F5上，我是看不习惯那些 XXX你们搞不定的，我只用了XX天，XX小时就搞定了那种人。现在工具太丰富了，不是以前那种时代，现在的逆向的门槛也低了很多，所以不要拿自己小小的成就各种吹虚。就拿我自己工作中碰到遇到的一件事来说，我调过一个NDIS 的BUG，这个我调了一个月的时间，才从根本上解决问题。这个BUG我谷歌过，老外也说搞不定，但我从系统启动到PNP加载还有NDIS相关的驱动加载的流程都调过，才定位到原因。我说这个并不是说明我有多牛B。我只是对种这种弄了点小成就就沾沾自喜的人看不惯而已，感觉就像是混娱乐圈的。你们可以喷我，说什么都无所谓，我已经过了你们这种做了点小东西就沾沾自喜的年纪。对于LZ我也没并没有说LZ能力怎么样，只点评了下，他就高潮了~~我只能呵呵了 2015-8-18 13:25 0
KooJiSung 雪币： 357 活跃值： (3133) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 30 楼论坛需要来一点pk赛,不然谁都不服谁 2015-8-18 13:41 0
猪会被杀掉雪币： 18 活跃值： (1009) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 31 楼 ......... 2015-8-18 14:00 0
basketwill 雪币： 1991 活跃值： (1506) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 32 楼说实话就我工作经验来说，驱动层比应用层逆向更简单，你信不？？因为应用层代码量庞大，编译产生的结构更深更复杂！ 2015-8-18 16:31 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 33 楼这个我信，驱动的话就一个固定的框架熟悉就行了。从逆向的角度来看应用层比驱动复杂 2015-8-18 19:07 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 34 楼真是韬哥？？？ 2015-8-18 19:20 0
小菜鸟一雪币： 894 活跃值： (4032) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 35 楼都来一发 2015-8-19 00:12 0
weishuna 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	weishuna 36 楼我先下载玩玩楼主很棒！ 2015-8-19 01:32 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 37 楼能说说你这做的是什么？怎么做的吗？源码一贴没多少人看 2015-8-19 09:46 0
Imyang 雪币： 6003 活跃值： (3490) 能力值： ( LV6，RANK：96 ) 在线值：发帖 17 回帖 182 粉丝 333 关注私信	Imyang 1 38 楼在IE11中设置默认搜索提供程序会在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\User Preferences这个项下面写入三个值。 win7，win8会把 L"Internet Explorer\\SearchScopes!ProtectSilently" L"Internet Explorer\\SearchScopes!DefaultScope" L"Internet Explorer\\User Preferences!DefaultScopeMigrationTime" 这三个字符串计算出hash，用作值得名称 win10会把 L"%BrowserAppProfile%\%BrowserUserProfile%\SearchScopes!ProtectSilently" L"%BrowserAppProfile%\%BrowserUserProfile%\SearchScopes!DefaultScope" L"%BrowserAppProfile%\User Preferences!DefaultScopeMigrationTime" 这三个字符串计算出hash，用作值得名称 DefaultScope的内容是SearchScopes的GUID DefaultScopeMigrationTime的内容是GetSystemTimeAsFileTime的返回值 ProtectSilently暂时没影响，使用IE设置默认搜索的时候不会写这个值 2015-8-19 16:42 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 39 楼我想起了韬哥，猪会被杀掉…… 2015-8-23 13:18 0
hakfly 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hakfly 40 楼都是大牛啊，我还没有真正去逆向过算法，只是跟踪过程序用OD,用IDA分析过。对于你们说的这些望而却步虽然没有去试过 2015-8-24 10:46 0
MDebug 雪币： 44 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 151 粉丝 0 关注私信	MDebug 41 楼牛逼啊啊 2015-8-24 12:43 0
hardcrack 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	hardcrack 42 楼没有说明吗？工具不重要 2015-8-24 16:22 0
wanjumuma 雪币： 218 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 63 粉丝 0 关注私信	wanjumuma 43 楼刚吃过中饭，可惜看到8楼。唉，晦气啊。 2015-8-25 13:14 0
angelqkm 雪币： 277 活跃值： (106) 能力值： ( LV9，RANK：230 ) 在线值：发帖 13 回帖 56 粉丝 4 关注私信	angelqkm 5 44 楼最近有用到，所以仔细研究了一下，主要原因是读取MachineGuid的值在64位系统下读不到，需要加上KEY_WOW64_64KEY就OK了 2016-7-8 16:21 0
白菜大哥雪币： 12502 活跃值： (3048) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 45 楼好牛c，不过，这个id，怎么感觉好幽默啊。。能不能换个id 2017-5-12 23:23 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 46 楼压缩包密码太长了 2017-5-12 23:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

猪会被杀掉

发帖

507

回帖

110

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) ◀ 1 2
破九雪币： 19 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 287 粉丝 1 关注私信	破九 26 楼我感觉双方都不对，评论者不应该那么说，但是LZ语言太过激进了。 2015-8-16 12:06 0
CRoot 雪币： 3343 活跃值： (1243) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 27 楼麻烦楼主来点注释可好特别是IDA F5后的那段代码有点看不懂 2015-8-17 18:19 0
basketwill 雪币： 1991 活跃值： (1506) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 28 楼嗯，支持楼主，我逆向了大概 360 所有浏览器、 chrome以及其他什么等等的校验算法并不是如某些人说的什么一个F5就搞定，要真是一个F5就搞定那校验保护何在？，有的浏览器逆向出完整算法用了3个星期的不停跟踪！ 2015-8-18 09:30 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 29 楼看来你们都纠结在F5上，我是看不习惯那些 XXX你们搞不定的，我只用了XX天，XX小时就搞定了那种人。现在工具太丰富了，不是以前那种时代，现在的逆向的门槛也低了很多，所以不要拿自己小小的成就各种吹虚。就拿我自己工作中碰到遇到的一件事来说，我调过一个NDIS 的BUG，这个我调了一个月的时间，才从根本上解决问题。这个BUG我谷歌过，老外也说搞不定，但我从系统启动到PNP加载还有NDIS相关的驱动加载的流程都调过，才定位到原因。我说这个并不是说明我有多牛B。我只是对种这种弄了点小成就就沾沾自喜的人看不惯而已，感觉就像是混娱乐圈的。你们可以喷我，说什么都无所谓，我已经过了你们这种做了点小东西就沾沾自喜的年纪。对于LZ我也没并没有说LZ能力怎么样，只点评了下，他就高潮了~~我只能呵呵了 2015-8-18 13:25 0
KooJiSung 雪币： 357 活跃值： (3133) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 30 楼论坛需要来一点pk赛,不然谁都不服谁 2015-8-18 13:41 0
猪会被杀掉雪币： 18 活跃值： (1009) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 31 楼 ......... 2015-8-18 14:00 0
basketwill 雪币： 1991 活跃值： (1506) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 32 楼说实话就我工作经验来说，驱动层比应用层逆向更简单，你信不？？因为应用层代码量庞大，编译产生的结构更深更复杂！ 2015-8-18 16:31 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 33 楼这个我信，驱动的话就一个固定的框架熟悉就行了。从逆向的角度来看应用层比驱动复杂 2015-8-18 19:07 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 34 楼真是韬哥？？？ 2015-8-18 19:20 0
小菜鸟一雪币： 894 活跃值： (4032) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 35 楼都来一发 2015-8-19 00:12 0
weishuna 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	weishuna 36 楼我先下载玩玩楼主很棒！ 2015-8-19 01:32 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 37 楼能说说你这做的是什么？怎么做的吗？源码一贴没多少人看 2015-8-19 09:46 0
Imyang 雪币： 6003 活跃值： (3490) 能力值： ( LV6，RANK：96 ) 在线值：发帖 17 回帖 182 粉丝 333 关注私信	Imyang 1 38 楼在IE11中设置默认搜索提供程序会在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\User Preferences这个项下面写入三个值。 win7，win8会把 L"Internet Explorer\\SearchScopes!ProtectSilently" L"Internet Explorer\\SearchScopes!DefaultScope" L"Internet Explorer\\User Preferences!DefaultScopeMigrationTime" 这三个字符串计算出hash，用作值得名称 win10会把 L"%BrowserAppProfile%\%BrowserUserProfile%\SearchScopes!ProtectSilently" L"%BrowserAppProfile%\%BrowserUserProfile%\SearchScopes!DefaultScope" L"%BrowserAppProfile%\User Preferences!DefaultScopeMigrationTime" 这三个字符串计算出hash，用作值得名称 DefaultScope的内容是SearchScopes的GUID DefaultScopeMigrationTime的内容是GetSystemTimeAsFileTime的返回值 ProtectSilently暂时没影响，使用IE设置默认搜索的时候不会写这个值 2015-8-19 16:42 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 39 楼我想起了韬哥，猪会被杀掉…… 2015-8-23 13:18 0
hakfly 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hakfly 40 楼都是大牛啊，我还没有真正去逆向过算法，只是跟踪过程序用OD,用IDA分析过。对于你们说的这些望而却步虽然没有去试过 2015-8-24 10:46 0
MDebug 雪币： 44 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 151 粉丝 0 关注私信	MDebug 41 楼牛逼啊啊 2015-8-24 12:43 0
hardcrack 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	hardcrack 42 楼没有说明吗？工具不重要 2015-8-24 16:22 0
wanjumuma 雪币： 218 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 63 粉丝 0 关注私信	wanjumuma 43 楼刚吃过中饭，可惜看到8楼。唉，晦气啊。 2015-8-25 13:14 0
angelqkm 雪币： 277 活跃值： (106) 能力值： ( LV9，RANK：230 ) 在线值：发帖 13 回帖 56 粉丝 4 关注私信	angelqkm 5 44 楼最近有用到，所以仔细研究了一下，主要原因是读取MachineGuid的值在64位系统下读不到，需要加上KEY_WOW64_64KEY就OK了 2016-7-8 16:21 0
白菜大哥雪币： 12502 活跃值： (3048) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 45 楼好牛c，不过，这个id，怎么感觉好幽默啊。。能不能换个id 2017-5-12 23:23 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 46 楼压缩包密码太长了 2017-5-12 23:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复