能力值:
( LV9,RANK:250 )
|
-
-
51 楼
这代码,一看就是shellcode,调试一下就OK.
请勿拿放大镜看事情,小题大做.
|
能力值:
( LV9,RANK:250 )
|
-
-
52 楼
自从上次被误会,被人发帖骂,到现在,我的确心情感觉很不爽.
解决途径:
1、坛主禁用peaceclub号。
2、以马甲登陆论坛
本人一贯直面现实,正义服人,所以用不惯马甲猥琐之事。如果坛主及高级会员门一直觉得看我心理就不爽的话,就delete我吧。省得我在哪个旮旯里说句话,都被你们斟酌半天,实属无趣。然则,再引来好事之人,添油加醋,扰一番乌烟瘴气。
|
能力值:
( LV9,RANK:250 )
|
-
-
53 楼
再补充最后一下:
1、我的确从事过商业行为,但都有度,以付出的劳动为计量度,一份耕耘,一份收获。(另资深的各位也放心,我也不会去以爆料你们的商业行为为乐,每个人都有自己的具体情况,我不想干预,毕竟这不是娱乐界);
2、如果都喜欢以看笑话的心态来调侃是非,那么请您适可而止,想必您心理有阴霾,调节好自己的心态,健康面对生活;
|
能力值:
( LV6,RANK:90 )
|
-
-
54 楼
估计可以封贴了. 
|
能力值:
( LV12,RANK:770 )
|
-
-
55 楼
最初由 peaceclub 发布
再补充最后一下
原来是误解兄弟了....
我到是支持 peaceclub兄,把这个unpack方法分享给大家  肯定不错的, 误解是可以整瓦解地!
偶是壳盲也想学习学习!
|
能力值:
( LV12,RANK:770 )
|
-
-
56 楼
这个壳用
1:tlscallback保护入口cc
2:进程入口参数校验
3:SetUnhandledExceptionFilter
4:OpenPorcess 检测进程,CreateThead 线程保护,主线程花丢了.
5:GetTickCount 时间校验,有几次JB跳转,都没有跳
6:RaiseException会死的很难看的. 注意JNZ跳转,都改变了.
7 指令变形的厉害,注意VirualAlloc VirualQeruy等.
8,最后不知道那里又切入的不对,异常是参照兄弟文章在新手论坛中,自己搜.
跑出来的.
爆汉里边常量是那么明显...
|
能力值:
(RANK:350 )
|
-
-
57 楼
最初由 peaceclub 发布
本来就是调侃的语句玩的恶作剧而已,这么深的回复也能给你们挖出来说事儿
这恶作剧也太恶了吧,你完全可以放个善意的程序,而不必真的放个木马在里面,如果没人提醒,万一哪个不小心在OD里跑你这段代码就中招了(完全有这可能性的)。
|
能力值:
( LV9,RANK:250 )
|
-
-
58 楼
看雪:
peaceclub提供的这个key由于含有字符0,因此还不能溢出执行。
对象分析:
1、菜鸟
因为不能正确执行,所以根本没任何影响
2、老鸟
正如hexer等人,自己复制二进制,自己分析研究,纯属分析,完全可自我避免执行程序
结果分析:
当时我正在调试download shellcode,顺便恶搞了一个,算恶作剧也只能是真对"粗心的老鸟"恶搞一下,如果真的中招的话,对他自己提高分析能力是有帮助的。
辩解(当然是对我恶作剧找借口):
看unpack上fly兄数次中招,不是技术上查不出,而是这方面意识度不高(一个星期前我也中了一个破人发来的程序,捆绑了私人后门。)
所以我认为此次恶作剧非但未造成不良影响,反而提高了安全意识。
|
能力值:
( LV9,RANK:250 )
|
-
-
59 楼
顺便八卦一下,我是个性格多面性的人(达不上bt级),到底是善良或者邪恶,要看和我接触的人的心态,诱发出我不同的行为反应。但放心,我100%%正常状态都是善良、热心的,但我从不做"农夫和蛇"里的农夫。
|
能力值:
( LV2,RANK:10 )
|
-
-
60 楼
套用一下哈里波特里的词汇, 不可饶恕咒 
|
能力值:
( LV2,RANK:10 )
|
-
-
61 楼
哇。。。。又学到了好多东西
|
能力值:
( LV2,RANK:10 )
|
-
-
62 楼
脱壳难啊,脱壳难啊
什么时候才能成功啊
|
能力值:
( LV2,RANK:10 )
|
-
-
63 楼
受教了!
不发表其它言论。
|
能力值:
![]()
(RANK:1060 )
|
-
-
64 楼
我以为会自动download一些av,没想到是木马,晕
|
能力值:
( LV9,RANK:170 )
|
-
-
65 楼
最初由 forgot 发布
我以为会自动download一些av,没想到是木马,晕
Images The Day To Open
|
能力值:
( LV6,RANK:90 )
|
-
-
66 楼
中不中木马不重要....
反正准备格式化..........
请peaceclub或者
哪为大狭写个破这个crackme的教程. thx
其他就不要谈了
|
能力值:
( LV2,RANK:10 )
|
-
-
67 楼
拥有强大武器的时候要小心走火。。。。。。
|
能力值:
( LV13,RANK:970 )
|
-
-
68 楼
幸好我没有验证别人key正确性的习惯。韩
|
能力值:
![]()
(RANK:1130 )
|
-
-
69 楼
最初由 heXer 发布
把http://www.h86.com.cn/test/shnokey.jpg下载到system32\gs.exe然后执行
gs.exe执行以后会下载一个叫yieoxsyf.d1?的文件到system32下,并且是隐藏的,用IceSword可以看到
还会启动你的iexplore.exe并把那个yieoxsyf注入进去,iexplore.exe并不会跑出界面来,是个隐藏进程
这个东西具体会做什么我不清楚,我只是简单的在虚拟机下直接跑了一下,发现有这些变化的,然后恢复了snapshot
........
貌似yieoxsyf.d1?名字是随机变化的(或许是木马版本问题)
我碰到过一个表现型和yieoxsyf.d1?一摸一样的木马
yqfprhqr.dll 隐藏文件,隐藏IEXPLORE.EXE进程 ,还用一个驱动yqfprhqr.sys保护自己(yqfprhqr.sys的修改时间被改成了2004年8月16日),IceSword不能强行删除(一删就蓝 , xp sp2)
至于开IE干什么坏事,我也不清楚,据一个朋友说他开了防火墙,发现自己的IE总是隔一段时间莫名其妙下载木马,一旦下载,杀毒软件就报有病毒,再一看是自己的IE下载的,估计就是这个木马的作用吧?
当时我没中过这个木马,他的解决方法是把IEXPLORE.EXE删除,用傲游上网,好像也没有太大的影响 上面的yieoxsyf.d1?是无壳的,35k
yqfprhqr.dll 加了个未知壳 ,29k ,脱壳后 56k(不会优化)
yieoxsyf.d1? 输出函数就一个 ServiceMain
yqfprhqr.dll 输出函数有2个 ServiceMain 和init
可能yqfprhqr.dll版本更高一点 ,由于2个文件不是一样的,所以猜测文件名和木马版本有关
木马就不上传了,有兴趣研究的可以和我联系
http://vxer.cn/bbs
|
能力值:
( LV8,RANK:130 )
|
-
-
70 楼
文件名应该是用生成器生成木马时配置的,可以任意指定的
|
能力值:
( LV2,RANK:10 )
|
-
-
71 楼
最初由 qiweixue 发布
原来是误解兄弟了....
我到是支持peaceclub兄,把这个unpack方法分享给大家 肯定不错的,误解是可以整瓦解地!
偶是壳盲也想学习学习!
告诉你unpack方法 人家还怎么放马? 
|
能力值:
( LV9,RANK:1250 )
|
-
-
72 楼
又长见识了.
江湖就是江湖.
经验是累积出来的.
|
能力值:
![]()
(RANK:1060 )
|
-
-
73 楼
|
能力值:
( LV12,RANK:770 )
|
-
-
74 楼
DarkNess0ut unpack 文章出来了.俺不希罕了
forgot不准备放放血血写个脱壳机
ft.爆汉里边常量是那么明显...我是壳盲!
|
能力值:
![]()
(RANK:10 )
|
-
-
75 楼
最初由 peaceclub 发布
再补充最后一下:
1、我的确从事过商业行为,但都有度,以付出的劳动为计量度,一份耕耘,一份收获。(另资深的各位也放心,我也不会去以爆料你们的商业行为为乐,每个人都有自己的具体情况,我不想干预,毕竟这不是娱乐界);
2、如果都喜欢以看笑话的心态来调侃是非,那么请您适可而止,想必您心理有阴霾,调节好自己的心态,健康面对生活;
支持peaceclub
|
|
|
|
