首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]hidetoolz v2.1在win2k3下重启解决办法
发表于: 2007-10-24 22:35 14059

[原创]hidetoolz v2.1在win2k3下重启解决办法

不懂算法 活跃值
2
2007-10-24 22:35
14059

用16进制打开hidetoolz.exe找到0x15e71位置把0x14改成0x24
在我自己机器测试成功,不保证这个方法的完美性
请期待作者修改这个bug

ps:求人不如求己


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (10)
kgdurgwu
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2

  为什么会重启呀???
2007-10-25 09:00
0
不懂算法
雪    币: 202
活跃值: (77)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
3 
.text:000129A9                 mov     dword_1327C, 11E1h
.text:000129B3                 mov     dword_13284, 1137h
.text:000129BD                 mov     dword_13274, 1179h
.text:000129C7                 mov     dword_13268, 42h
.text:000129D1                 mov     dword_13280, 1205h
.text:000129DB                 mov     dword_13264, 228h
.text:000129E5                 mov     dword_13290, 154h
.text:000129EF                 mov     dword_13278, 22Ch
.text:000129F9                 mov     dword_13270, 0C4h
.text:00012A03                 mov     dword_1328C, 114h


这个地方是判断操作系统是2003后初始化的地方,这些数值应该都是未公开的数据
根据操作系统不同数值也会不同,我们注意到把dword_1328C初始化为114h

.text:00011C17                 mov     eax, dword_1328C
.text:00011C1C                 mov     eax, [eax+esi]
.text:00011C1F                 mov     [ebp+Object], eax

这个地方取esi+dword_1328C即esi+114h的地方的数据保存到ebp+Object
.text:00011C93                 mov     eax, [ebp+Object]
.text:00011C96                 cmp     eax, ebx
.text:00011C98                 jz      short loc_11CDB
.text:00011C98
.text:00011C9A                 mov     eax, [eax+14h]
.text:00011C9D                 mov     eax, [eax]
.text:00011C9F                 mov     esi, [eax+24h]

这个地方取上面保存的数值为eax,然后再取[eax+14h]的值,而当dword_1328C等于114h的
时候,[esi+114h]=3,这样mov     eax, [eax+14h]就是mov     eax, [3+14h]造成错误,导致系统重启,所以说这个114h数值不适合2003,更确切的说不适合2003sp2吧,可能这个数适合某个版本的2003,经过调试2003sp2下的这个数值应该是124h
所以我们要做的就是把mov     dword_1328C, 114h改成mov     dword_1328C, 124h
2007-10-25 11:37
0
sunsjw
雪    币: 8744
活跃值: (5210)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
我是说我的2003一直用不起,多谢不懂算法兄弟,膜拜下你。
2007-10-25 12:51
0
xIkUg
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
私信
5
刚看了一下,原来是EPROCESS->SectionObject的偏移
2007-10-25 14:55
0
kgdurgwu
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
谢谢lz的详解
学习
2007-10-25 15:40
0
forgot
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
7
膜拜123456
2007-10-25 16:24
0
不懂算法
雪    币: 202
活跃值: (77)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
8
学习了
2007-10-25 18:10
0
bithaha
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
私信
9
多谢超懂算法,好久没见你上线呀
2007-10-25 19:59
0
iawen
雪    币: 359
活跃值: (430)
能力值: ( LV9,RANK:150 )
在线值:
发帖
回帖
粉丝
私信
10
膜拜,我按楼主的说明测试成功,多谢!
更多谢另几位的“渔”,呵呵,我的是WIN2003+SP2
2007-10-25 20:46
0
Mozillor
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
我也测试成功!可是貌似在2003的任务管理器里面仍然可以看到打算隐藏的程序,包括HIDETOOLZ自身,怎么办?
2007-12-5 20:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//