首页
社区
课程
招聘
奇怪的进程监视
发表于: 2007-1-30 18:00 4323

奇怪的进程监视

2007-1-30 18:00
4323
一、简介  

【郑重声明】:本文只为技术而破解,纯属技术交流, 请勿用于非法用途。  
【软件名称】:国产登陆器
【下载页面】:http://www.wooolff.com/xuexue.exe (PS:一直关注这个东西今天居然换壳了)
【软件简介】:登陆器
【调试环境】:winxp、OD-fly修改版、PEID0.94
【软件限制】:专杀加速器进程.

1.脱壳
  用PEID0.94查看主程序,壳为UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo[overlay]
Ollydbg载入主程序:
004C1A20 >  60              pushad
004C1A21    BE 00704600     mov     esi, 00467000
004C1A26    8DBE 00A0F9FF   lea     edi, [esi+FFF9A000]
004C1A2C    57              push    edi
004C1A2D    83CD FF         or      ebp, FFFFFFFF
004C1A30    EB 10           jmp     short 004C1A42
004C1A32    90              nop
004C1A33    90              nop
004C1A34    90              nop
004C1A35    90              nop
004C1A36    90              nop
004C1A37    90              nop
004C1A38    8A06            mov     al, [esi]
004C1A3A    46              inc     esi
004C1A3B    8807            mov     [edi], al

单步F8查看寄存器.

---------寄存器-------
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDE000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 004C1A21 xuexue.004C1A21
---------------------------
根据ESP定律规则,现在在命令栏中下 hr 0012FFA4命令,回车,F9运行:

004C1B83  - E9 A91CF4FF     jmp     00403831
004C1B88    0000            add     [eax], al
004C1B8A    0000            add     [eax], al
004C1B8C    0000            add     [eax], al
004C1B8E    0000            add     [eax], al
004C1B90    0000            add     [eax], al
004C1B92    0000            add     [eax], al
004C1B94    0000            add     [eax], al
004C1B96    0000            add     [eax], al

单步F8来到.

00403831    55              push    ebp     在这用DUMP这个程序
00403832    8BEC            mov     ebp, esp
00403834    6A FF           push    -1
00403836    68 F0624000     push    004062F0
0040383B    68 A44C4000     push    00404CA4
00403840    64:A1 00000000  mov     eax, fs:[0]
00403846    50              push    eax
00403847    64:8925 0000000>mov     fs:[0], esp
0040384E    83EC 58         sub     esp, 58
00403851    53              push    ebx
00403852    56              push    esi
00403853    57              push    edi
00403854    8965 E8         mov     [ebp-18], esp
00403857    FF15 48604000   call    [406048]                         ; kernel32.GetVersion

脱壳修复:

运行ImportREC 1.6,选择这个进程,把OEP改为 00403831 ,点ITAutoSearch,指针全部有效。FixDump!
修复完之后,运行.  Invalid date ia file.!!!!!!!

加上overlay数据之后.程序.运行正常.

接着试着用.winhex 查找hook.dll .GeartNt.exe(登陆器会杀这两个进程)
找了一遍没有反现什么.
接着..把程序跑起来.点登陆游戏.之后..随意查找.也查不到.但.只要开.变速齿轮也就是GeartNt.exe.
登陆器.立即关了.GearNt.exe进程.

试请教:这种情况怎么下断???.......怎么让他断在没有变速齿轮之前??

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
2
字符加密,明码或者暗码比较,你都不能简单用WINHEX查出来的
2007-1-30 18:26
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
最新有些进展.当登陆器运行的时候..再用winhex查找可以找到.变速齿轮的字样.
如是我把他改成别的什么东西然后保存.之后,还是没有办法.他还是照杀.变速齿轮.
.
请问这个应该怎么修改他就不会杀变速齿轮.
2007-1-30 18:30
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
4
运行前查不出,运行了就能查出,明显是把字符加密过嘛

如果你自己写程序,你也不会这么无聊,特地去写代码检查字符是否已经解密过一次吧?当然是运行一次该功能,就解密一次拉。

在那个位置下内存断点,不就能定位相关代码了
2007-1-30 18:51
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好就请教了.这样的应该下什么断点?
2007-1-30 18:53
0
雪    币: 214
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
笨笨雄是好人啊
本来我想回贴了,可是搜了一下楼主的近来的发贴内容
就不想回了
2007-1-30 19:58
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
7
搜索了一下6楼的近期回复楼主的帖子,总算明白为什么我说了下内存断点,他还问怎么下了

建议楼主先去看看OD的教程吧。先从论坛的搜索功能学起,把基本软件的功能都学好吧。。

出去工作了,才知道什么叫基础不扎实,之前会用一个软件打开一个文件就觉得自己懂得用那个软件了。。。。

看了帮助我熟悉工作的人操作电脑,才知道什么叫差距。感觉象玩WAR3一样。。那快捷键用得够BT的。。。

也难怪他跟我说不用急着开始工作,先熟悉一下软件的使用。。
2007-1-30 20:08
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
内在断点知道怎么弄.可是关键是怎么找到那个地方啊.跟本无从下手啊.
连一些提示都没有他就直接把一些程序关闭了..
2007-1-31 11:17
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
找到了这些地址.可是跟本不能断下来.请点击这里看图.论坛里面图片不能链接的
2007-1-31 17:43
0
游客
登录 | 注册 方可回帖
返回
//