[原创]逆向改造《终截者入侵阻止v5.26》为我所用（含破解）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]逆向改造《终截者入侵阻止v5.26》为我所用（含破解）

发表于: 2006-11-19 19:24 16286

[原创]逆向改造《终截者入侵阻止v5.26》为我所用（含破解）

edisonH

2006-11-19 19:24

16286

【目标】:终截者入侵阻止v5.26
【工具】:W32Dasm中文版(GOLD)、OllyICE v1.10 修改版、EXESCOPE v6.30、LordPE v1.4，PEiD 0.94
【操作平台】:WindowsXP SP1
【作者】: edisonH
【软件说明】：《终截者入侵阻止》 -- 100%拦截已知与未知病毒，可以有效拦截最新变种病毒及别有用心之人制作的“免杀病毒”；保护你所有的帐号与密码,是你的网上银行交易、游戏、聊天的保护专家！
【声明】:本文为原创作品，转载请注明出处并保持文章的完整性, 谢谢!。
缘起：
看中终截者的驱动级注册表hook，找来一个最新版，安装后发现需要未注册版本只有30天试用期，且有以下不满之处，于是决定破解了并改造不满之处。
破解试用30天：
软件安装后，主程序启动正常，调节时间到30天后，使试用期过期，开启程序，出现过期对话框

破解开始：
按例，用PEiD先查壳，无壳。
1.  使用eXeScope打开主程序SecMain.exe，查找过期对话框，发现对话框ID为0x95
2.  使用W32Dasm打开主程序SecMain.exe，查找对话框ID为0x95的，在地址0x405740处发现
0040573D  |.  8BF1       mov    esi, ecx
0040573F  |.  50          push eax
00405740  |.  68 95000000 push 95
00405745  |.  897424 14    mov    [esp+14], esi
00405749  |.  FF15 34144100 call [<&SkinWinLib.CSecBaseDlg::CSecBaseDlg>]  ;  对话框创建
3.  OllyICE载入主程序SecMain.exe，在地址0x405740处下断，运行，中断在0x405740处，回朔，发现过期检查处
00407D10  /$  64:A1 0000000>mov    eax, fs:[0]
00407D16  |.  6A FF       push -1
00407D18  |.  68 EB064100 push 004106EB
00407D1D  |.  50          push eax
00407D1E  |.  A1 5C7E4100 mov    eax, [417E5C] ; 逝去的时间，只有软件刚打开时为0
00407D23  |.  64:8925 00000>mov    fs:[0], esp
00407D2A  |.  81EC 10030000 sub    esp, 310
00407D30  |.  85C0       test eax, eax ; 是否刚打开
00407D32  |.  56          push esi
00407D33  |.  8B35 44104100 mov    esi, [<&KERNEL32.GetTickCount>]    ;  kernel32.GetTickCount
00407D39  |.  57          push edi
00407D3A    74 1D       je    short 00407D59 ; 刚打开则跳去过期检查
00407D3C  |.  FFD6       call esi                               ; [GetTickCount
00407D3E  |.  2B05 5C7E4100 sub    eax, [417E5C] ; 上次检查到现在的时间差
00407D44  |.  8BF8       mov    edi, eax
00407D46  |.  FFD6       call esi                               ; [GetTickCount
00407D48  |.  81FF 00974901 cmp    edi, 1499700 ; 比较时间差是否大于6小时
00407D4E  |.  A3 5C7E4100 mov    [417E5C], eax ; 保存这次检查的时间
00407D53    0F82 5F010000 jb    00407EB8 ; 若距上次检查在6小时以内则跳过过期检查
00407D59  |>  FFD6       call esi                               ; [GetTickCount
00407D5B  |.  A3 5C7E4100 mov    [417E5C], eax
00407D60  |.  E8 49510000 call <JMP.&MFC42.#1168_AFXGETMODULESTATE>
00407D65  |.  8B40 04    mov    eax, [eax+4]
00407D68  |.  8B88 F0020000 mov    ecx, [eax+2F0] ; 从安装到现在的时间差
00407D6E  |.  83F9 1E    cmp    ecx, 1E ; 比较是否大于30天
00407D71  |.  7D 10       jge    short 00407D83 ; 大于等于30天则跳
00407D73  |.  B8 1E000000 mov    eax, 1E
00407D78  |.  2BC1       sub    eax, ecx
00407D7A  |.  83F8 05    cmp    eax, 5 ; 比较距过期是否大于5天
00407D7D  |.  0F8D 35010000 jge    00407EB8 ; 大于等于5天则跳
00407D83  |>  8B35 907E4100 mov    esi, [417E90]
......
00407DA9  |.  E8 48730000 call <JMP.&MAINDLG.GETMAINDLG>
00407DAE  |.  50          push eax
00407DAF  |.  8D4C24 14    lea    ecx, [esp+14]
00407DB3  |.  E8 68D9FFFF call 00405720       ; 回朔到这里,往上看，发现过期检查处
{
00405720  /$  6A FF       push -1
00405722  |.  68 D0FF4000 push 0040FFD0          ;  SE 处理程序安装
00405727  |.  64:A1 0000000>mov    eax, fs:[0]
......
0040573D  |.  8BF1       mov    esi, ecx
0040573F  |.  50          push eax
00405740  |.  68 95000000 push 95       ; 过期对话框ID0x95，这里下断，回朔回上一级调用
00405745  |.  897424 14    mov    [esp+14], esi
00405749  |.  FF15 34144100 call [<&SkinWinLib.CSecBaseDlg::CSecBaseDlg>]  ;  创建对话框
......
004057F9  |.  64:890D 00000>mov    fs:[0], ecx
00405800  |.  83C4 10    add    esp, 10
00405803  \.  C2 0400    retn 4
}
00407DB8  |.  C68424 240300>mov    byte ptr [esp+324], 1
......
00407EC1  |.  64:890D 00000>mov    fs:[0], ecx
00407EC8  |.  81C4 1C030000 add    esp, 31C
00407ECE  \.  C3          retn
4.可以看到，跳往00407EB8即可解除过期限制，这里有两处:
00407D53    0F82 5F010000 jb    00407EB8
和
00407D7D  |.  0F8D 35010000 jge    00407EB8
所以这里的爆破方案有两种：
1.
00407D3A    74 1D       je    short 00407D59 ; 改为nop
00407D53    0F82 5F010000 jb    00407EB8  ; 改为jmp 00407EB8
2.
00407D71  |.  7D 10       jge    short 00407D83 ; 改为nop
00407D7D  |.  0F8D 35010000 jge    00407EB8  ; 改为jmp 00407EB8
另外，从上面的分析中可以看到，试用并没有真正的30天，而是25天

DIY改造：
不满之处：
终截者有主程序SecMain.exe及服务程序SecBkSrv.exe
1.  每次主程序SecMain.exe启动后，启动服务进程SecBkSrv.exe，并设置服务SecBkSrv为自动启动，下次系统重启时服务自动启动
2.  当关闭主程序后，服务没有关闭，继续占用资源
3.  服务进程SecBkSrv.exe启动后，在注册表Run项中添加主程序SecMain.exe自启动项，下次重启后主程序自启动
计划：
1.  服务改为始终为手动方式，不会随重启自启动
2.  主程序退出时，关闭服务，节省资源
3.  主程序改为非强制自启动
详细步骤：
全部完成后，将修改SecMain.exe和SecBkSrv.exe，事先备份。
1.  服务改为始终为手动方式
OllyICE载入SecMain.exe，下断服务参数设置api函数ChangeServiceConfigA，回朔
00409265  |.  6A 03       push 2 ; |StartType参数 (2为自动,3为手动,改为push 3）
00409267  |.  68 A06A4100 push 00416AA0                      ;  ASCII "SecBkSrv"
0040926C  |.  E8 4F010000 call 004093C0 ; 回朔到这里
{
004093C0  /$  55          push ebp
004093C1  |.  57          push edi
......
004093EB  |.  53          push ebx
004093EC  |.  56          push esi
.....
00409406  |.  8B4C24 18    mov    ecx, [esp+18]  ; |StartType启动类型，[esp+18]即为00409265处压入的参数push 3
0040940A  |.  6A 00       push 0                               ; /DisplayName = NULL
0040940C  |.  6A 00       push 0                               ; |Password = NULL
0040940E  |.  6A 00       push 0                               ; |ServiceStartName = NULL
00409410  |.  6A 00       push 0                               ; |pDependencies = NULL
00409412  |.  6A 00       push 0                               ; |pTagId = NULL
00409414  |.  6A 00       push 0                               ; |LoadOrderGroup = NULL
00409416  |.  6A 00       push 0                               ; |BinaryPathName = NULL
00409418  |.  6A FF       push -1                            ; |ErrorControl = SERVICE_NO_CHANGE
0040941A  |.  51          push ecx                            ; |StartType
0040941B  |.  68 10010000 push 110                            ; |ServiceType = SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS
00409420  |.  56          push esi                            ; |hService
00409421  |.  FF15 2C104100 call [<&ADVAPI32.ChangeServiceConfigA>; 下断，回朔
......
0040949E  \.  C3          retn
}
2.  改造原程序，使其拥有关闭服务功能
先来看看，主程序怎么启动服务的
00408F00  /$  6A FF       push -1
00408F02  |.  68 C8074100 push 004107C8 ;  SE 处理程序安装
......
00408F18  |.  68 3F000F00 push 0F003F
00408F1D  |.  6A 00       push 0
00408F1F  |.  6A 00       push 0
00408F21  |.  FF15 1C104100 call [<&ADVAPI32.OpenSCManagerA>];  第一步，打开服务控制管理器
00408F27  |.  8BD8       mov    ebx, eax ;  得到服务控制管理器的句柄hSCManager，存于ebx中
......
00408F3E  |>  8B4424 1C    mov    eax, [esp+1C]
00408F42  |.  6A 30       push 10
00408F44  |.  50          push eax
00408F45  |.  53          push ebx
00408F46  |.  FF15 18104100 call [<&ADVAPI32.OpenServiceA>] ;  第二步，打开自己的服务SecBkSrv
00408F4C  |.  8BF0       mov    esi, eax ;  得到句柄hSecBkSrv，存于esi中
......
00408F6E  |.  6A 00       push 0
00408F70  |.  6A 00       push 0
00408F72  |.  56          push esi ;  hSecBkSrv
00408F73  |.  FF15 00104100 call [<&ADVAPI32.StartServiceA>] ;  第三步，启动服务进程SecBkSrv.exe
......
00408FF0  \.  C3          retn
再来看看，如果要关闭服务，要怎么做
call OpenSCManagerA  打开服务控制管理器
call OpenServiceA  打开服务
call ControlService 传递SERVICE_STOPED参数来关闭服务
看来，关闭服务和打开服务的第一第二步是一样的，为了减少增加的代码，改造一下上面主程序的打开服务的代码，增加关闭的功能。
(1)  先要修改打开服务时，设置的权限，改服务启动权限为  SERVICE_START | SERVICE_STOP，保证有结束权限
00408F42  |.  6A 10       push 10 ;SERVICE_START=0X10,SERVICE_STOP=0X20,改为push 30
00408F44  |.  50          push eax
00408F45  |.  53          push ebx
00408F46  |.  FF15 18104100 call [<&ADVAPI32.OpenServiceA>]
(2) 用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数
(3)  先看看ControlService函数
BOOL ControlService(
SC_HANDLE hService, // handle to service
DWORD dwControl, // control code
LPSERVICE_STATUS lpServiceStatus  // pointer to service status structure
);
SERVICE_STATUS结构
typedef struct _SERVICE_STATUS { // 按注释赋值即可
DWORD dwServiceType;  // 0
DWORD dwCurrentState;  // 1 ,SERVICE_STOPED
DWORD dwControlsAccepted; // 0
DWORD dwWin32ExitCode; // -1
DWORD dwServiceSpecificExitCode;  // 0
DWORD dwCheckPoint; // 0
DWORD dwWaitHint; // 0
} SERVICE_STATUS, *LPSERVICE_STATUS;
(4)  准备的差不多了，找个空的地方，打补丁增加关闭服务
补丁代码：
0x408f6e:
jmp 410e15
;修改为我的关闭服务函数
0x410e15:
mov eax,[esp+28]
cmp eax,12121212 ; 检查是否执行关闭服务的标记
je 410e2B
push 0
push 0
push esi
jmp 408f73       ;  不是关闭服务，跳回原函数
pushad
push 0             ;  在堆栈中压入SERVICE_STATUS结构
push 0
push 0
push -1
push 0
push 1
push 0
push esp       ;  &SERVICE_STATUS
push 1          ;  SERVICE_STOPED
push esi       ;  hSecBkSrv服务句柄
call [42001e]  ;  ADVAPI32.ControlService
add esp,1c
popad
pop edi
pop ebp
pop esi
pop ebx
mov ecx,[esp+4]
mov fs:[0],ecx
add esp,10
ret
(5)  那么在哪里调用关闭服务的函数呢？
在主程序退出前，这里。
0040D46A  |.  8945 98    mov    [local.26], eax
0040D46D  |.  50          push eax                            ; /status
0040D46E    FF15 A4134100 call [<&MSVCRT.exit>]                ;  MSVCRT.exit

0x40d46e:
jmp 410e5b
nop
0x410e5b:
;调用关闭服务
pushad
mov eax,12121212  ;  自定义调用的标记
push eax
push 416aa0 ;  "SecBkSrv"
call 408F00    ;  增加了关闭服务的函数入口
pop eax
pop eax
popad
call [4113A4]    ; MSVCRT.exit
jmp 40d474
3.  改服务程序SecBkSrv.exe，使主程序改为非强制自启动
简单起见，只要改了SecBkSrv.exe中的字符串"SecMain.exe Hide"为一个目录中不存在的文件即可，这里我改为 no.exe
用W32Dasm在SecBkSrv.exe查找"SecMain.exe Hide"，这里
00404776  |.  BF 74AB4000 mov    edi, 0040AB74                   ;  "SecMain.exe Hide"
0040AB74  53 65 63 4D 61 69 6E 2E 65 78 65 20 48 69 64 65  SecMain.exe Hide
改为
0040AB74  6E 6F 2E 65 78 65 00 00 00 00 00 00 00 00 00 00  no.exe..........
即可

修改好后，保存SecMain.exe和SecBkSrv.exe.
运行主程序SecMain.exe，退出
一切按照要求工作了，成功！

[课程]Android-CTF解题方法汇总！

收藏・1

免费・7

支持

最新回复 (31) 1 2 ▶
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 2 楼最初由 edisonH* 发布* 看来，关闭服务和打开服务的第一第二步是一样的，为了减少增加的代码，改造一下上面主程序的打开服务的代码，增加关闭的功能。 (1) 先要修改打开服务时，设置的权限，改服务启动权限为 SERVICE_START \| SERVICE_STOP，保证有结束权限 00408F42 \|. 6A 10 push 10 ;SERVICE_START=0X10,SERVICE_STOP=0X20,改为push 30 00408F44 \|. 50 push eax 00408F45 \|. 53 push ebx 00408F46 \|. FF15 18104100 call [<&ADVAPI32.OpenServiceA>] (2) 用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数 .................................. 这个比较强。 2006-11-19 19:37 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 3 楼晕~~我在官方找遍才5。10版本，不知道楼主的5。26咋来的？内部版？ 2006-11-19 21:14 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 4 楼哈哈，厉害，支持！我下载的是5.10，安装后显示是5.26 2006-11-19 22:49 0
baqiang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	baqiang 5 楼第1篇文章就写得这么好服了 2006-11-20 10:21 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 6 楼厉害！` 2006-11-20 16:46 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 7 楼厉害,支持! 2006-11-20 21:30 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 8 楼楼主的第一篇文章就这么厉害，佩服佩服 2006-11-21 00:53 0
yangtx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	yangtx 9 楼 1. 每次主程序SecMain.exe启动后，启动服务进程SecBkSrv.exe，并设置服务SecBkSrv为自动启动，下次系统重启时服务自动启动好多软件都是这样的，非常讨厌。 2006-11-21 15:34 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 10 楼楼主来帮忙啊，大部分都解决了，但是发现服务程序SecBkSrv.exe在主程序退出后不停止，可能是下面的问题：文中提到“((2) 用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数”，这个该怎么操作呢？在文章中，打的补丁，其中 call [42001e] ; ADVAPI32.ControlService 我在这句下断点，发现程序不知如何处理，找不到[42001e] 2006-11-23 22:30 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 11 楼哈哈，我自己解决了，方法如下： 1、用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数打开LordPE，点“PE编辑”，选择SecMain.exe，点“目录”，在“导入表”后，选择打开，在dll列表中右键=》添加导入表，出现“添加导入函数”对话框，在dll中填写ADVAPI32，API填写ControlService，点击加号+，添加成功了，然后找到ADVAPI32.ControlService ，计算ControlService的地址，我计算的地址是42001a，和楼主的地址42001e不同，保存退出LordPE。 2、将call [42001e] ; ADVAPI32.ControlService改为 call 42001a 然后保存，启动测试，哈哈，完全达到目的，服务程序SecBkSrv.exe 成功停止。我是菜鸟哈，向高手学习，又进步了。 2006-11-23 23:37 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 12 楼跟楼上的学了用会怎样用lordpe了 :) 谢谢啊! 2006-11-24 10:47 0
hnwq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hnwq 13 楼而本人按上述方法破除时间限制时却不能，总是提示有时间过期窗口，见下图，如果有破解成功的高手，请帮助把破解好的EXE文件放上来如何？ 2006-11-24 12:00 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼把参数改无穷大 2006-11-24 12:42 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 15 楼呵呵，大家都说鸡蛋壳是个好人，还有没有完全爆破的地方，继续努力一把： ...... 00407D65 \|. 8B40 04 mov eax, [eax+4] 00407D68 \|. 8B88 F0020000 mov ecx, [eax+2F0] 00407D6E \|. 83F9 1E cmp ecx, 1E ；与30天比较 00407D71 \|. 7D 10 jge short 00407D83 ；大于或者等于则跳走 00407D73 \|. B8 1E000000 mov eax, 1E 00407D78 \|. 2BC1 sub eax, ecx ；30天－已经使用的天数=剩余天数 00407D7A \|. 83F8 05 cmp eax, 5 ；剩余天数与5比较 00407D7D 0F8D 35010000 jge 00407EB8 ；剩余天数大于或者等于5天则跳走，小于5天则跳出对话框，提醒注册。 00407D83 \|> 8B35 907E4100 mov esi, [417E90] 00407D89 \|. 55 push ebp ...... 2006-11-25 17:28 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 16 楼哇靠。甚么是精华。这就叫做精华 2006-11-25 17:38 0
zlgooo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	zlgooo 17 楼我的exe怎么没有过期提示框？wd32也查找不到0*95的位置？望给个提示！ 2006-11-26 15:48 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 18 楼厉害,支持! 2006-11-26 22:44 0
hnwq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hnwq 19 楼我按照上面的再次调试仍然不行，是不是去30和5天的地方仍然要NOP掉，有没有谁能把破好的附件上传呢 2006-11-27 09:13 0
zhangzhan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	zhangzhan 20 楼晕~~我在官方找遍才5。10版本，不知道楼主的5。26咋来的？内部版？ 2006-11-27 10:22 0
skyXnet 雪币： 226 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 84 粉丝 0 关注私信	skyXnet 3 21 楼逆向得有意思.. 嘿嘿.. 2006-11-27 10:37 0
skyXnet 雪币： 226 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 84 粉丝 0 关注私信	skyXnet 3 22 楼转载一篇文章. http://bbs.s-sos.net/viewthread.php?tid=14252&extra=page%3D1 《终截者入侵阻止》无需升级，未知蠕虫拦截再显威力！微软的漏洞公告“MS06-040:Server 服务中的漏洞可能允许远程执行代码”，在其公告不过3天时间，网络上已经出现了利用该漏洞攻击的蠕虫“魔波”。 8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒――“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。感染“魔波”时的症状当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。根据分析，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内，因此该病毒很有可能为国人编写。《安全分析专家》无须升级，火眼识“魔波“ 很快，就接到有用户反映其公司电脑有异常现象，描述与上基本相符，很显然，用户所在内网中已经感染了“魔波”蠕虫。迅速拿出《安全分析专家》，扫描后定位到蠕虫所在位置，如下图所示：从图中可以看到，《安全分析专家》的“异常行为识别”无须升级特征库即可识别蠕虫（红色高危警报）。这对于分析木马病毒、蠕虫时犹为有效！安全回归之下，“魔波”你就别想跑！确定这部机存在蠕虫后，迅速切断这部机与其他内网的连接，防止重复感染内部网。之后，将已经安装好的《终截者入侵阻止》双击任务栏中的图标打开主程序界面，点击程序主界面中的按钮。按照简单的提示，系统即可进行“安全回归”，操作步骤如下图所示：电脑在“安全回归”后，准确无误地拦截了“魔波”的横行，如下图所示：亲手除掉“魔波”，酷就一个字！再次打开《终截者入侵阻止》程序的主界面，点击“安全回归”按钮，这时，在“安全回归”控制台中选择点击“打开编辑器” 在“安全回归”编辑器中，双击指定的“程序名称”或在“详细信息“栏中的任一位置，可以迅速定位到”魔波“蠕虫所在的文件夹位置。这时，　“魔波“早已失去威力，指着它，就像操作普通的文件一样，选择删除或按下Delete键即可让他“灰飞烟灭”。 “魔波“来侵，安全隐身无懈可击时下不比往日，“亡羊补牢”已经不再适合目前的网络安全环境！网银大盗的横行、阿啦ＱＱ大盗猖獗、蠕虫病毒的危害... ...这些的这些，难道非要等到“失去了才后悔”？在这次与客户内部网的蠕虫紧急事件响应过程中，同样发生了类似的情况，感染内部网络的机器不止一部！在你清除完这里的时候，也许一回头，这部机器又被重复感染上蠕虫。在清除蠕虫的同时，防御同样重要！而在处理完这部机中的“魔波”后，没有出现再次被重复感染的事。因为，《终截者入侵阻止》中的安全防护等级已经处于“安全隐身”保护状态。 “安全隐身”在最大程度上已经封锁了该漏洞所能感染的环境、条件，也就无法感染这部电脑，彻底保护你的网络安全。本文完！相关软件下载地址：《终截者入侵阻止》 http://www.s-sos.net/downloads/Terminator.htm 《安全分析专家》 http://www.s-sos.net/downloads/SecAnalyst.htm 魔波蠕虫专杀工具 (终截者实验室) http://bbs.s-sos.net/viewthread.php?tid=14105&extra=page%3D1 2006-11-27 10:38 0
edisonH 雪币： 243 活跃值： (11) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	edisonH 3 23 楼最初由 flong* 发布* 楼主来帮忙啊，大部分都解决了，但是发现服务程序SecBkSrv.exe在主程序退出后不停止，可能是下面的问题：文中提到“((2) 用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数”，这个该怎么操作呢？在文章中，打的补丁，其中 call [42001e] ; ADVAPI32.ControlService ........ [42001e]==地址（ADVAPI32.ControlService） 2006-11-27 13:07 0
edisonH 雪币： 243 活跃值： (11) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	edisonH 3 24 楼最初由冷血书生* 发布* 晕~~我在官方找遍才5。10版本，不知道楼主的5。26咋来的？内部版？写着是5.10你下下来，安装好，打开就知道是5.26了 2006-11-27 13:09 0
hnwq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hnwq 25 楼时间限制不能解除郁闷的很　不知道楼主有没有作过期测试，先把时间调到让他过期，再修改主文件去除过期提示，但目前没有成功的提示。请楼主能把改好的EXE文件或重新被充全一下 2006-11-28 09:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

edisonH

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 2 楼最初由 edisonH* 发布* 看来，关闭服务和打开服务的第一第二步是一样的，为了减少增加的代码，改造一下上面主程序的打开服务的代码，增加关闭的功能。 (1) 先要修改打开服务时，设置的权限，改服务启动权限为 SERVICE_START \| SERVICE_STOP，保证有结束权限 00408F42 \|. 6A 10 push 10 ;SERVICE_START=0X10,SERVICE_STOP=0X20,改为push 30 00408F44 \|. 50 push eax 00408F45 \|. 53 push ebx 00408F46 \|. FF15 18104100 call [<&ADVAPI32.OpenServiceA>] (2) 用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数 .................................. 这个比较强。 2006-11-19 19:37 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 3 楼晕~~我在官方找遍才5。10版本，不知道楼主的5。26咋来的？内部版？ 2006-11-19 21:14 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 4 楼哈哈，厉害，支持！我下载的是5.10，安装后显示是5.26 2006-11-19 22:49 0
baqiang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	baqiang 5 楼第1篇文章就写得这么好服了 2006-11-20 10:21 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 6 楼厉害！` 2006-11-20 16:46 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 7 楼厉害,支持! 2006-11-20 21:30 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 8 楼楼主的第一篇文章就这么厉害，佩服佩服 2006-11-21 00:53 0
yangtx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	yangtx 9 楼 1. 每次主程序SecMain.exe启动后，启动服务进程SecBkSrv.exe，并设置服务SecBkSrv为自动启动，下次系统重启时服务自动启动好多软件都是这样的，非常讨厌。 2006-11-21 15:34 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 10 楼楼主来帮忙啊，大部分都解决了，但是发现服务程序SecBkSrv.exe在主程序退出后不停止，可能是下面的问题：文中提到“((2) 用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数”，这个该怎么操作呢？在文章中，打的补丁，其中 call [42001e] ; ADVAPI32.ControlService 我在这句下断点，发现程序不知如何处理，找不到[42001e] 2006-11-23 22:30 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 11 楼哈哈，我自己解决了，方法如下： 1、用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数打开LordPE，点“PE编辑”，选择SecMain.exe，点“目录”，在“导入表”后，选择打开，在dll列表中右键=》添加导入表，出现“添加导入函数”对话框，在dll中填写ADVAPI32，API填写ControlService，点击加号+，添加成功了，然后找到ADVAPI32.ControlService ，计算ControlService的地址，我计算的地址是42001a，和楼主的地址42001e不同，保存退出LordPE。 2、将call [42001e] ; ADVAPI32.ControlService改为 call 42001a 然后保存，启动测试，哈哈，完全达到目的，服务程序SecBkSrv.exe 成功停止。我是菜鸟哈，向高手学习，又进步了。 2006-11-23 23:37 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 12 楼跟楼上的学了用会怎样用lordpe了 :) 谢谢啊! 2006-11-24 10:47 0
hnwq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hnwq 13 楼而本人按上述方法破除时间限制时却不能，总是提示有时间过期窗口，见下图，如果有破解成功的高手，请帮助把破解好的EXE文件放上来如何？ 2006-11-24 12:00 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼把参数改无穷大 2006-11-24 12:42 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 15 楼呵呵，大家都说鸡蛋壳是个好人，还有没有完全爆破的地方，继续努力一把： ...... 00407D65 \|. 8B40 04 mov eax, [eax+4] 00407D68 \|. 8B88 F0020000 mov ecx, [eax+2F0] 00407D6E \|. 83F9 1E cmp ecx, 1E ；与30天比较 00407D71 \|. 7D 10 jge short 00407D83 ；大于或者等于则跳走 00407D73 \|. B8 1E000000 mov eax, 1E 00407D78 \|. 2BC1 sub eax, ecx ；30天－已经使用的天数=剩余天数 00407D7A \|. 83F8 05 cmp eax, 5 ；剩余天数与5比较 00407D7D 0F8D 35010000 jge 00407EB8 ；剩余天数大于或者等于5天则跳走，小于5天则跳出对话框，提醒注册。 00407D83 \|> 8B35 907E4100 mov esi, [417E90] 00407D89 \|. 55 push ebp ...... 2006-11-25 17:28 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 16 楼哇靠。甚么是精华。这就叫做精华 2006-11-25 17:38 0
zlgooo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	zlgooo 17 楼我的exe怎么没有过期提示框？wd32也查找不到0*95的位置？望给个提示！ 2006-11-26 15:48 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 18 楼厉害,支持! 2006-11-26 22:44 0
hnwq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hnwq 19 楼我按照上面的再次调试仍然不行，是不是去30和5天的地方仍然要NOP掉，有没有谁能把破好的附件上传呢 2006-11-27 09:13 0
zhangzhan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	zhangzhan 20 楼晕~~我在官方找遍才5。10版本，不知道楼主的5。26咋来的？内部版？ 2006-11-27 10:22 0
skyXnet 雪币： 226 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 84 粉丝 0 关注私信	skyXnet 3 21 楼逆向得有意思.. 嘿嘿.. 2006-11-27 10:37 0
skyXnet 雪币： 226 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 84 粉丝 0 关注私信	skyXnet 3 22 楼转载一篇文章. http://bbs.s-sos.net/viewthread.php?tid=14252&extra=page%3D1 《终截者入侵阻止》无需升级，未知蠕虫拦截再显威力！微软的漏洞公告“MS06-040:Server 服务中的漏洞可能允许远程执行代码”，在其公告不过3天时间，网络上已经出现了利用该漏洞攻击的蠕虫“魔波”。 8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒――“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。感染“魔波”时的症状当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。根据分析，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内，因此该病毒很有可能为国人编写。《安全分析专家》无须升级，火眼识“魔波“ 很快，就接到有用户反映其公司电脑有异常现象，描述与上基本相符，很显然，用户所在内网中已经感染了“魔波”蠕虫。迅速拿出《安全分析专家》，扫描后定位到蠕虫所在位置，如下图所示：从图中可以看到，《安全分析专家》的“异常行为识别”无须升级特征库即可识别蠕虫（红色高危警报）。这对于分析木马病毒、蠕虫时犹为有效！安全回归之下，“魔波”你就别想跑！确定这部机存在蠕虫后，迅速切断这部机与其他内网的连接，防止重复感染内部网。之后，将已经安装好的《终截者入侵阻止》双击任务栏中的图标打开主程序界面，点击程序主界面中的按钮。按照简单的提示，系统即可进行“安全回归”，操作步骤如下图所示：电脑在“安全回归”后，准确无误地拦截了“魔波”的横行，如下图所示：亲手除掉“魔波”，酷就一个字！再次打开《终截者入侵阻止》程序的主界面，点击“安全回归”按钮，这时，在“安全回归”控制台中选择点击“打开编辑器” 在“安全回归”编辑器中，双击指定的“程序名称”或在“详细信息“栏中的任一位置，可以迅速定位到”魔波“蠕虫所在的文件夹位置。这时，　“魔波“早已失去威力，指着它，就像操作普通的文件一样，选择删除或按下Delete键即可让他“灰飞烟灭”。 “魔波“来侵，安全隐身无懈可击时下不比往日，“亡羊补牢”已经不再适合目前的网络安全环境！网银大盗的横行、阿啦ＱＱ大盗猖獗、蠕虫病毒的危害... ...这些的这些，难道非要等到“失去了才后悔”？在这次与客户内部网的蠕虫紧急事件响应过程中，同样发生了类似的情况，感染内部网络的机器不止一部！在你清除完这里的时候，也许一回头，这部机器又被重复感染上蠕虫。在清除蠕虫的同时，防御同样重要！而在处理完这部机中的“魔波”后，没有出现再次被重复感染的事。因为，《终截者入侵阻止》中的安全防护等级已经处于“安全隐身”保护状态。 “安全隐身”在最大程度上已经封锁了该漏洞所能感染的环境、条件，也就无法感染这部电脑，彻底保护你的网络安全。本文完！相关软件下载地址：《终截者入侵阻止》 http://www.s-sos.net/downloads/Terminator.htm 《安全分析专家》 http://www.s-sos.net/downloads/SecAnalyst.htm 魔波蠕虫专杀工具 (终截者实验室) http://bbs.s-sos.net/viewthread.php?tid=14105&extra=page%3D1 2006-11-27 10:38 0
edisonH 雪币： 243 活跃值： (11) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	edisonH 3 23 楼最初由 flong* 发布* 楼主来帮忙啊，大部分都解决了，但是发现服务程序SecBkSrv.exe在主程序退出后不停止，可能是下面的问题：文中提到“((2) 用LordPE.EXE为程序添加了ADVAPI32.ControlService 输入函数”，这个该怎么操作呢？在文章中，打的补丁，其中 call [42001e] ; ADVAPI32.ControlService ........ [42001e]==地址（ADVAPI32.ControlService） 2006-11-27 13:07 0
edisonH 雪币： 243 活跃值： (11) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	edisonH 3 24 楼最初由冷血书生* 发布* 晕~~我在官方找遍才5。10版本，不知道楼主的5。26咋来的？内部版？写着是5.10你下下来，安装好，打开就知道是5.26了 2006-11-27 13:09 0
hnwq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hnwq 25 楼时间限制不能解除郁闷的很　不知道楼主有没有作过期测试，先把时间调到让他过期，再修改主文件去除过期提示，但目前没有成功的提示。请楼主能把改好的EXE文件或重新被充全一下 2006-11-28 09:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复