首页
社区
课程
招聘
[游戏]一个奇怪的带壳crackme
发表于: 2006-12-9 19:20 20957

[游戏]一个奇怪的带壳crackme

2006-12-9 19:20
20957
收藏
免费 7
支持
分享
最新回复 (78)
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
51
这代码,一看就是shellcode,调试一下就OK.
请勿拿放大镜看事情,小题大做.
2006-12-23 17:13
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
52
自从上次被误会,被人发帖骂,到现在,我的确心情感觉很不爽.
解决途径:
1、坛主禁用peaceclub号。
2、以马甲登陆论坛

本人一贯直面现实,正义服人,所以用不惯马甲猥琐之事。如果坛主及高级会员门一直觉得看我心理就不爽的话,就delete我吧。省得我在哪个旮旯里说句话,都被你们斟酌半天,实属无趣。然则,再引来好事之人,添油加醋,扰一番乌烟瘴气。
2006-12-23 17:20
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
53
再补充最后一下:
1、我的确从事过商业行为,但都有度,以付出的劳动为计量度,一份耕耘,一份收获。(另资深的各位也放心,我也不会去以爆料你们的商业行为为乐,每个人都有自己的具体情况,我不想干预,毕竟这不是娱乐界);
2、如果都喜欢以看笑话的心态来调侃是非,那么请您适可而止,想必您心理有阴霾,调节好自己的心态,健康面对生活;
2006-12-23 17:27
0
雪    币: 146
活跃值: (33)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
54
估计可以封贴了.
2006-12-23 18:01
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
55
最初由 peaceclub 发布
再补充最后一下


原来是误解兄弟了....

我到是支持peaceclub兄,把这个unpack方法分享给大家 肯定不错的,误解是可以整瓦解地!

偶是壳盲也想学习学习!
2006-12-23 18:15
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
56
这个壳用
1:tlscallback保护入口cc

2:进程入口参数校验

3:SetUnhandledExceptionFilter

4:OpenPorcess 检测进程,CreateThead 线程保护,主线程花丢了.

5:GetTickCount 时间校验,有几次JB跳转,都没有跳

6:RaiseException会死的很难看的. 注意JNZ跳转,都改变了.

7 指令变形的厉害,注意VirualAlloc VirualQeruy等.

8,最后不知道那里又切入的不对,异常是参照兄弟文章在新手论坛中,自己搜.

跑出来的.

爆汉里边常量是那么明显...
2006-12-23 18:28
0
雪    币: 47147
活跃值: (20405)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
57
最初由 peaceclub 发布
本来就是调侃的语句玩的恶作剧而已,这么深的回复也能给你们挖出来说事儿


这恶作剧也太恶了吧,你完全可以放个善意的程序,而不必真的放个木马在里面,如果没人提醒,万一哪个不小心在OD里跑你这段代码就中招了(完全有这可能性的)。
2006-12-23 18:34
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
58
看雪:

peaceclub提供的这个key由于含有字符0,因此还不能溢出执行。


对象分析:
1、菜鸟
   因为不能正确执行,所以根本没任何影响
2、老鸟
   正如hexer等人,自己复制二进制,自己分析研究,纯属分析,完全可自我避免执行程序

结果分析:
   当时我正在调试download shellcode,顺便恶搞了一个,算恶作剧也只能是真对"粗心的老鸟"恶搞一下,如果真的中招的话,对他自己提高分析能力是有帮助的。
辩解(当然是对我恶作剧找借口):
看unpack上fly兄数次中招,不是技术上查不出,而是这方面意识度不高(一个星期前我也中了一个破人发来的程序,捆绑了私人后门。)
所以我认为此次恶作剧非但未造成不良影响,反而提高了安全意识。
2006-12-23 18:54
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
59
顺便八卦一下,我是个性格多面性的人(达不上bt级),到底是善良或者邪恶,要看和我接触的人的心态,诱发出我不同的行为反应。但放心,我100%%正常状态都是善良、热心的,但我从不做"农夫和蛇"里的农夫。
2006-12-23 18:58
0
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
套用一下哈里波特里的词汇, 不可饶恕咒
2006-12-23 19:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
哇。。。。又学到了好多东西
2006-12-23 20:25
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
脱壳难啊,脱壳难啊
什么时候才能成功啊
2006-12-23 20:26
0
雪    币: 117
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
63
受教了!
不发表其它言论。
2006-12-23 20:27
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
64
我以为会自动download一些av,没想到是木马,晕
2006-12-23 20:28
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
65
最初由 forgot 发布
我以为会自动download一些av,没想到是木马,晕

Images The Day To Open
2006-12-23 20:49
0
雪    币: 146
活跃值: (33)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
66
中不中木马不重要....
反正准备格式化..........
请peaceclub或者
哪为大狭写个破这个crackme的教程. thx
其他就不要谈了
2006-12-23 21:00
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
67
拥有强大武器的时候要小心走火。。。。。。
2006-12-26 09:14
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
68
幸好我没有验证别人key正确性的习惯。韩
2006-12-26 19:03
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
69
最初由 heXer 发布
把http://www.h86.com.cn/test/shnokey.jpg下载到system32\gs.exe然后执行
gs.exe执行以后会下载一个叫yieoxsyf.d1?的文件到system32下,并且是隐藏的,用IceSword可以看到
还会启动你的iexplore.exe并把那个yieoxsyf注入进去,iexplore.exe并不会跑出界面来,是个隐藏进程

这个东西具体会做什么我不清楚,我只是简单的在虚拟机下直接跑了一下,发现有这些变化的,然后恢复了snapshot
........


貌似yieoxsyf.d1?名字是随机变化的(或许是木马版本问题)

我碰到过一个表现型和yieoxsyf.d1?一摸一样的木马
yqfprhqr.dll 隐藏文件,隐藏IEXPLORE.EXE进程 ,还用一个驱动yqfprhqr.sys保护自己(yqfprhqr.sys的修改时间被改成了2004年8月16日),IceSword不能强行删除(一删就蓝 , xp sp2)

至于开IE干什么坏事,我也不清楚,据一个朋友说他开了防火墙,发现自己的IE总是隔一段时间莫名其妙下载木马,一旦下载,杀毒软件就报有病毒,再一看是自己的IE下载的,估计就是这个木马的作用吧?
当时我没中过这个木马,他的解决方法是把IEXPLORE.EXE删除,用傲游上网,好像也没有太大的影响

上面的yieoxsyf.d1?是无壳的,35k
yqfprhqr.dll 加了个未知壳 ,29k ,脱壳后 56k(不会优化)

yieoxsyf.d1? 输出函数就一个 ServiceMain
yqfprhqr.dll 输出函数有2个  ServiceMain 和init
可能yqfprhqr.dll版本更高一点 ,由于2个文件不是一样的,所以猜测文件名和木马版本有关

木马就不上传了,有兴趣研究的可以和我联系
http://vxer.cn/bbs
2006-12-27 09:51
0
雪    币: 254
活跃值: (126)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
70
文件名应该是用生成器生成木马时配置的,可以任意指定的
2006-12-27 10:06
0
雪    币: 367
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
71
最初由 qiweixue 发布
原来是误解兄弟了....

我到是支持peaceclub兄,把这个unpack方法分享给大家 肯定不错的,误解是可以整瓦解地!

偶是壳盲也想学习学习!


告诉你unpack方法 人家还怎么放马?
2006-12-27 11:04
0
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
72
又长见识了.
江湖就是江湖.
经验是累积出来的.
2006-12-27 20:26
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
73
半裸体文件。。。
上传的附件:
2006-12-27 20:58
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
74
DarkNess0ut unpack 文章出来了.俺不希罕了
forgot不准备放放血血写个脱壳机

ft.爆汉里边常量是那么明显...我是壳盲!
2006-12-28 15:14
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
75
最初由 peaceclub 发布
再补充最后一下:
1、我的确从事过商业行为,但都有度,以付出的劳动为计量度,一份耕耘,一份收获。(另资深的各位也放心,我也不会去以爆料你们的商业行为为乐,每个人都有自己的具体情况,我不想干预,毕竟这不是娱乐界);
2、如果都喜欢以看笑话的心态来调侃是非,那么请您适可而止,想必您心理有阴霾,调节好自己的心态,健康面对生活;


支持peaceclub
2006-12-28 15:34
0
游客
登录 | 注册 方可回帖
返回
//