[原创]内存注册机的工作原理及masm源码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]内存注册机的工作原理及masm源码

发表于: 2007-6-5 15:22 31109

[原创]内存注册机的工作原理及masm源码

王仁军

2007-6-5 15:22

31109

查看主题内容

收藏・26

免费・7

支持

最新回复 (60) ◀ 1 2 3 ▶
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 26 楼我改我改，其实我并不近视 2007-6-6 15:46 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 27 楼貌似这样产生泄漏 CREATE DEBUG EVENT里面的handles和process inf里面的不一样，要关闭后面一个 2007-6-6 15:57 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 28 楼强，顶！啊？短了还不能发啊？ 2007-6-6 16:55 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 29 楼你说的应该是　@DBGEvent.u.CreateProcessInfo.hThread　吧好象是和　PI.hThread　不一样，我把前面的　PI.hThread 都改成　@DBGEvent.u.CreateProcessInfo.hThread 发现debggee被挂起后动不了了。探索：在invoke WaitForDebugEvent,addr @DBGEvent,INFINITE ;等待调试事件的发生 .break .if @DBGEvent.dwDebugEventCode==EXIT_PROCESS_DEBUG_EVENT ;你退出了我也就退出吧! 后面加几句调试一下发现： .if @DBGEvent.u.CreateProcessInfo.hThread ;可能这个debuggee是单线程的，只有一次不为０，得到了CREATE_THEAD_DEBUG_EVENT 消息， mov ecx,@DBGEvent.u.CreateProcessInfo.hThread 　　　　 ;invoke CloseHandle,PI.hThread ;有这一句则debuggee死掉 ;mov PI.hThread,ecx ;有无这一句debuggee都不死，正常，有前一句必要这一句 mov eax,PI.hThread ;只为调试时看着方便 mov edx,@DBGEvent.dwThreadId ;只为调试时看着方便 mov esi,PI.dwThreadId ;只为调试时看着方便 .endif 所谓debuggee死掉，就是点按“注册”后debuggee无反应，也弹不出注册码显示窗口调试发现：,@DBGEvent.u.CreateProcessInfo.hThread　与　PI.hThread　的值的确不同，但@DBGEvent.dwThreadId　与　PI.dwThreadId　相同。我的看法：同一个线程的　ID　是唯一的，但　handle　可以有多个且不同，关闭 handle 实际上也就关闭了 ID，关闭也不是关闭线程本身，只为释放内存占用。不知正确与否，请高手指点。 *************************************************************** 不好意思，一时疏忽，上面犯了个初级错误，invoke CloseHandle,PI.hThread 这句会改变 ecx　的值，所以程序会挂死。改成 if @DBGEvent.u.CreateProcessInfo.hThread invoke CloseHandle,PI.hThread mov ecx,@DBGEvent.u.CreateProcessInfo.hThread mov PI.hThread,ecx .endif 就不会挂死了，也不会内存泄漏了。 2007-6-6 17:47 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 30 楼 id当然是唯一的，handle可以打开好几个。你关闭pi里面的handles就可以了，用CREATE事件里面的 2007-6-6 19:51 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 31 楼感谢指导，问题已经解决 2007-6-6 22:59 0
ttabcs 雪币： 220 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 61 粉丝 0 关注私信	ttabcs 32 楼这东东好像去年就有人发出了源码吧，只是样子不一样而以.....实际操作也是大同小异吧？ 2007-6-7 14:26 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 33 楼我去找来看一下......... 那个好象对加壳的无效，弹出窗口后debuggee就死了，所以我这个多少该有点进步吧？ 2007-6-7 14:41 0
angelcom 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	angelcom 34 楼认真学习 ~~~~ 2007-6-8 12:42 0
小二豆雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	小二豆 35 楼真的是非常感谢了！ 2007-6-8 14:47 0
Ajampie 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 329 粉丝 1 关注私信	Ajampie 36 楼现在还是看不懂这些汇编的代码？？是不是不是古老的汇编语言阿而是win32的汇编语言 2007-6-8 19:02 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 37 楼不错的东西,下来学习学习,不过好像压缩有问题 2007-6-8 20:24 0
sjclch 雪币： 89 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 147 粉丝 3 关注私信	sjclch 38 楼老兄你直接生程序放出吧，， 2007-6-9 20:49 0
Lancia 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 498 粉丝 0 关注私信	Lancia 39 楼谁能发上编译好的程序？？？ 2007-6-10 01:29 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 40 楼直接生成程序。。。。。。。。你干脆去找KeyMake(编者刘健英，应该知道吧)好了。我前面就强调过，如果你不太会编程，我这些代码就成垃圾了。如果你会编程就可以更灵活地针对不同的注册算法，写出KeyMake生成不了的注册机，毕竟KeyMake的生成模式是有限的。我原来是想用VC++写一个给看不懂Asm的人用，有人觉得我没必要发这样的贴子，所以我就不想再写了。我似乎是应该多看别人的文章，少献丑为妙。 2007-6-10 19:50 0
海楼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 1 关注私信	海楼 41 楼谢谢楼主分享！俺好好学习一下收藏…… 2007-6-11 02:24 0
sjclch 雪币： 89 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 147 粉丝 3 关注私信	sjclch 42 楼老兄过激啦，愚并无任何不恭之意，只是想刘老的东东现现在已经成被杀对相，实是不方便 2007-6-11 23:09 0
kagayaki 雪币： 227 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 43 楼收藏了!!!!!!!!!!!!!! 2007-6-11 23:37 0
ttabcs 雪币： 220 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 61 粉丝 0 关注私信	ttabcs 44 楼这东东只能对付压缩壳的，对付压缩壳的也就是多了一个断点而以，所以跟以前那个是差不多的 , 改进也就那一点点。我说的可能太诚实了。别在意 2007-6-12 09:32 0
天逸雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	天逸 45 楼好东东当然要学习的，以后一定会用得着。 2007-6-12 16:40 0
ymirjoy 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	ymirjoy 46 楼下载了，谢谢分享 2007-6-12 21:18 0
虾米雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 165 粉丝 0 关注私信	虾米 1 47 楼真是....太感激了。多谢贡献。。。。 2007-6-12 21:26 0
飞雪冷飘雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	飞雪冷飘 48 楼还是老大厉害哦。 2007-6-13 23:29 0
blue_devil_bomb 雪币： 295 活跃值： (461) 能力值： ( LV9，RANK：210 ) 在线值：发帖 17 回帖 165 粉丝 0 关注私信	blue_devil_bomb 5 49 楼终于可以上网了，又有好帖了，支持学习中 2007-6-14 16:43 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 50 楼感觉lz分享经验,关于给出的代码有点小问题 LOCAL @ThreadConText:CONTEXT ...... dec @ThreadConText.regEip ;EIP已经指向int 3中断的下一条代码了，让它重新指向int 3 mov ecx,@ThreadConText.regEip ;取debugee的EIP 但是WINNT.H中关于CONTEXT的结构是这样定义的: typedef struct _CONTEXT { // // The flags values within this flag control the contents of // a CONTEXT record. // // If the context record is used as an input parameter, then // for each portion of the context record controlled by a flag // whose value is set, it is assumed that that portion of the // context record contains valid context. If the context record // is being used to modify a threads context, then only that // portion of the threads context will be modified. // // If the context record is used as an IN OUT parameter to capture // the context of a thread, then only those portions of the thread's // context corresponding to set flags will be returned. // // The context record is never used as an OUT only parameter. // DWORD ContextFlags; // // This section is specified/returned if CONTEXT_DEBUG_REGISTERS is // set in ContextFlags. Note that CONTEXT_DEBUG_REGISTERS is NOT // included in CONTEXT_FULL. // DWORD Dr0; DWORD Dr1; DWORD Dr2; DWORD Dr3; DWORD Dr6; DWORD Dr7; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_FLOATING_POINT. // FLOATING_SAVE_AREA FloatSave; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_SEGMENTS. // DWORD SegGs; DWORD SegFs; DWORD SegEs; DWORD SegDs; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_INTEGER. // DWORD Edi; DWORD Esi; DWORD Ebx; DWORD Edx; DWORD Ecx; DWORD Eax; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_CONTROL. // DWORD Ebp; DWORD Eip; DWORD SegCs; // MUST BE SANITIZED DWORD EFlags; // MUST BE SANITIZED DWORD Esp; DWORD SegSs; // // This section is specified/returned if the ContextFlags word // contains the flag CONTEXT_EXTENDED_REGISTERS. // The format and contexts are processor specific // BYTE ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION]; } CONTEXT; 不知是??? 2007-6-15 20:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

王仁军

发帖

131

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (60) ◀ 1 2 3 ▶
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 26 楼我改我改，其实我并不近视 2007-6-6 15:46 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 27 楼貌似这样产生泄漏 CREATE DEBUG EVENT里面的handles和process inf里面的不一样，要关闭后面一个 2007-6-6 15:57 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 28 楼强，顶！啊？短了还不能发啊？ 2007-6-6 16:55 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 29 楼你说的应该是　@DBGEvent.u.CreateProcessInfo.hThread　吧好象是和　PI.hThread　不一样，我把前面的　PI.hThread 都改成　@DBGEvent.u.CreateProcessInfo.hThread 发现debggee被挂起后动不了了。探索：在invoke WaitForDebugEvent,addr @DBGEvent,INFINITE ;等待调试事件的发生 .break .if @DBGEvent.dwDebugEventCode==EXIT_PROCESS_DEBUG_EVENT ;你退出了我也就退出吧! 后面加几句调试一下发现： .if @DBGEvent.u.CreateProcessInfo.hThread ;可能这个debuggee是单线程的，只有一次不为０，得到了CREATE_THEAD_DEBUG_EVENT 消息， mov ecx,@DBGEvent.u.CreateProcessInfo.hThread 　　　　 ;invoke CloseHandle,PI.hThread ;有这一句则debuggee死掉 ;mov PI.hThread,ecx ;有无这一句debuggee都不死，正常，有前一句必要这一句 mov eax,PI.hThread ;只为调试时看着方便 mov edx,@DBGEvent.dwThreadId ;只为调试时看着方便 mov esi,PI.dwThreadId ;只为调试时看着方便 .endif 所谓debuggee死掉，就是点按“注册”后debuggee无反应，也弹不出注册码显示窗口调试发现：,@DBGEvent.u.CreateProcessInfo.hThread　与　PI.hThread　的值的确不同，但@DBGEvent.dwThreadId　与　PI.dwThreadId　相同。我的看法：同一个线程的　ID　是唯一的，但　handle　可以有多个且不同，关闭 handle 实际上也就关闭了 ID，关闭也不是关闭线程本身，只为释放内存占用。不知正确与否，请高手指点。 *************************************************************** 不好意思，一时疏忽，上面犯了个初级错误，invoke CloseHandle,PI.hThread 这句会改变 ecx　的值，所以程序会挂死。改成 if @DBGEvent.u.CreateProcessInfo.hThread invoke CloseHandle,PI.hThread mov ecx,@DBGEvent.u.CreateProcessInfo.hThread mov PI.hThread,ecx .endif 就不会挂死了，也不会内存泄漏了。 2007-6-6 17:47 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 30 楼 id当然是唯一的，handle可以打开好几个。你关闭pi里面的handles就可以了，用CREATE事件里面的 2007-6-6 19:51 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 31 楼感谢指导，问题已经解决 2007-6-6 22:59 0
ttabcs 雪币： 220 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 61 粉丝 0 关注私信	ttabcs 32 楼这东东好像去年就有人发出了源码吧，只是样子不一样而以.....实际操作也是大同小异吧？ 2007-6-7 14:26 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 33 楼我去找来看一下......... 那个好象对加壳的无效，弹出窗口后debuggee就死了，所以我这个多少该有点进步吧？ 2007-6-7 14:41 0
angelcom 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	angelcom 34 楼认真学习 ~~~~ 2007-6-8 12:42 0
小二豆雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	小二豆 35 楼真的是非常感谢了！ 2007-6-8 14:47 0
Ajampie 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 329 粉丝 1 关注私信	Ajampie 36 楼现在还是看不懂这些汇编的代码？？是不是不是古老的汇编语言阿而是win32的汇编语言 2007-6-8 19:02 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 37 楼不错的东西,下来学习学习,不过好像压缩有问题 2007-6-8 20:24 0
sjclch 雪币： 89 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 147 粉丝 3 关注私信	sjclch 38 楼老兄你直接生程序放出吧，， 2007-6-9 20:49 0
Lancia 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 498 粉丝 0 关注私信	Lancia 39 楼谁能发上编译好的程序？？？ 2007-6-10 01:29 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 40 楼直接生成程序。。。。。。。。你干脆去找KeyMake(编者刘健英，应该知道吧)好了。我前面就强调过，如果你不太会编程，我这些代码就成垃圾了。如果你会编程就可以更灵活地针对不同的注册算法，写出KeyMake生成不了的注册机，毕竟KeyMake的生成模式是有限的。我原来是想用VC++写一个给看不懂Asm的人用，有人觉得我没必要发这样的贴子，所以我就不想再写了。我似乎是应该多看别人的文章，少献丑为妙。 2007-6-10 19:50 0
海楼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 1 关注私信	海楼 41 楼谢谢楼主分享！俺好好学习一下收藏…… 2007-6-11 02:24 0
sjclch 雪币： 89 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 147 粉丝 3 关注私信	sjclch 42 楼老兄过激啦，愚并无任何不恭之意，只是想刘老的东东现现在已经成被杀对相，实是不方便 2007-6-11 23:09 0
kagayaki 雪币： 227 活跃值： (4820) 能力值： ( LV3，RANK：20 ) 在线值：发帖 172 回帖 1233 粉丝 24 关注私信	kagayaki 43 楼收藏了!!!!!!!!!!!!!! 2007-6-11 23:37 0
ttabcs 雪币： 220 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 61 粉丝 0 关注私信	ttabcs 44 楼这东东只能对付压缩壳的，对付压缩壳的也就是多了一个断点而以，所以跟以前那个是差不多的 , 改进也就那一点点。我说的可能太诚实了。别在意 2007-6-12 09:32 0
天逸雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	天逸 45 楼好东东当然要学习的，以后一定会用得着。 2007-6-12 16:40 0
ymirjoy 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	ymirjoy 46 楼下载了，谢谢分享 2007-6-12 21:18 0
虾米雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 165 粉丝 0 关注私信	虾米 1 47 楼真是....太感激了。多谢贡献。。。。 2007-6-12 21:26 0
飞雪冷飘雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	飞雪冷飘 48 楼还是老大厉害哦。 2007-6-13 23:29 0
blue_devil_bomb 雪币： 295 活跃值： (461) 能力值： ( LV9，RANK：210 ) 在线值：发帖 17 回帖 165 粉丝 0 关注私信	blue_devil_bomb 5 49 楼终于可以上网了，又有好帖了，支持学习中 2007-6-14 16:43 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 50 楼感觉lz分享经验,关于给出的代码有点小问题 LOCAL @ThreadConText:CONTEXT ...... dec @ThreadConText.regEip ;EIP已经指向int 3中断的下一条代码了，让它重新指向int 3 mov ecx,@ThreadConText.regEip ;取debugee的EIP 但是WINNT.H中关于CONTEXT的结构是这样定义的: typedef struct _CONTEXT { // // The flags values within this flag control the contents of // a CONTEXT record. // // If the context record is used as an input parameter, then // for each portion of the context record controlled by a flag // whose value is set, it is assumed that that portion of the // context record contains valid context. If the context record // is being used to modify a threads context, then only that // portion of the threads context will be modified. // // If the context record is used as an IN OUT parameter to capture // the context of a thread, then only those portions of the thread's // context corresponding to set flags will be returned. // // The context record is never used as an OUT only parameter. // DWORD ContextFlags; // // This section is specified/returned if CONTEXT_DEBUG_REGISTERS is // set in ContextFlags. Note that CONTEXT_DEBUG_REGISTERS is NOT // included in CONTEXT_FULL. // DWORD Dr0; DWORD Dr1; DWORD Dr2; DWORD Dr3; DWORD Dr6; DWORD Dr7; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_FLOATING_POINT. // FLOATING_SAVE_AREA FloatSave; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_SEGMENTS. // DWORD SegGs; DWORD SegFs; DWORD SegEs; DWORD SegDs; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_INTEGER. // DWORD Edi; DWORD Esi; DWORD Ebx; DWORD Edx; DWORD Ecx; DWORD Eax; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_CONTROL. // DWORD Ebp; DWORD Eip; DWORD SegCs; // MUST BE SANITIZED DWORD EFlags; // MUST BE SANITIZED DWORD Esp; DWORD SegSs; // // This section is specified/returned if the ContextFlags word // contains the flag CONTEXT_EXTENDED_REGISTERS. // The format and contexts are processor specific // BYTE ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION]; } CONTEXT; 不知是??? 2007-6-15 20:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复