首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[原创]hidetoolz v2.1在win2k3下重启解决办法
2007-10-24 22:35 13458

[原创]hidetoolz v2.1在win2k3下重启解决办法

不懂算法 活跃值
2
2007-10-24 22:35
13458
用16进制打开hidetoolz.exe找到0x15e71位置把0x14改成0x24
在我自己机器测试成功,不保证这个方法的完美性
请期待作者修改这个bug

ps:求人不如求己

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

收藏
点赞7
打赏
分享
最新回复 (10)
kgdurgwu
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
kgdurgwu 2007-10-25 09:00
2
0

  为什么会重启呀???
不懂算法
雪    币: 202
活跃值: (77)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
不懂算法 2 2007-10-25 11:37
3
0 
.text:000129A9                 mov     dword_1327C, 11E1h
.text:000129B3                 mov     dword_13284, 1137h
.text:000129BD                 mov     dword_13274, 1179h
.text:000129C7                 mov     dword_13268, 42h
.text:000129D1                 mov     dword_13280, 1205h
.text:000129DB                 mov     dword_13264, 228h
.text:000129E5                 mov     dword_13290, 154h
.text:000129EF                 mov     dword_13278, 22Ch
.text:000129F9                 mov     dword_13270, 0C4h
.text:00012A03                 mov     dword_1328C, 114h


这个地方是判断操作系统是2003后初始化的地方,这些数值应该都是未公开的数据
根据操作系统不同数值也会不同,我们注意到把dword_1328C初始化为114h

.text:00011C17                 mov     eax, dword_1328C
.text:00011C1C                 mov     eax, [eax+esi]
.text:00011C1F                 mov     [ebp+Object], eax

这个地方取esi+dword_1328C即esi+114h的地方的数据保存到ebp+Object
.text:00011C93                 mov     eax, [ebp+Object]
.text:00011C96                 cmp     eax, ebx
.text:00011C98                 jz      short loc_11CDB
.text:00011C98
.text:00011C9A                 mov     eax, [eax+14h]
.text:00011C9D                 mov     eax, [eax]
.text:00011C9F                 mov     esi, [eax+24h]

这个地方取上面保存的数值为eax,然后再取[eax+14h]的值,而当dword_1328C等于114h的
时候,[esi+114h]=3,这样mov     eax, [eax+14h]就是mov     eax, [3+14h]造成错误,导致系统重启,所以说这个114h数值不适合2003,更确切的说不适合2003sp2吧,可能这个数适合某个版本的2003,经过调试2003sp2下的这个数值应该是124h
所以我们要做的就是把mov     dword_1328C, 114h改成mov     dword_1328C, 124h
sunsjw
雪    币: 8057
活跃值: (4345)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
sunsjw 1 2007-10-25 12:51
4
0
我是说我的2003一直用不起,多谢不懂算法兄弟,膜拜下你。
xIkUg
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
私信
xIkUg 9 2007-10-25 14:55
5
0
刚看了一下,原来是EPROCESS->SectionObject的偏移
kgdurgwu
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
kgdurgwu 2007-10-25 15:40
6
0
谢谢lz的详解
学习
forgot
雪    币: 6073
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
forgot 26 2007-10-25 16:24
7
0
膜拜123456
不懂算法
雪    币: 202
活跃值: (77)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
不懂算法 2 2007-10-25 18:10
8
0
学习了
bithaha
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
私信
bithaha 5 2007-10-25 19:59
9
0
多谢超懂算法,好久没见你上线呀
iawen
雪    币: 359
活跃值: (425)
能力值: ( LV9,RANK:150 )
在线值:
发帖
回帖
粉丝
私信
iawen 3 2007-10-25 20:46
10
0
膜拜,我按楼主的说明测试成功,多谢!
更多谢另几位的“渔”,呵呵,我的是WIN2003+SP2
Mozillor
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Mozillor 2007-12-5 20:51
11
0
我也测试成功!可是貌似在2003的任务管理器里面仍然可以看到打算隐藏的程序,包括HIDETOOLZ自身,怎么办?
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回