[顶起]Execryptor的线程逃跑-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[顶起]Execryptor的线程逃跑

发表于: 2007-11-22 16:07 10113

[顶起]Execryptor的线程逃跑

shoooo

2007-11-22 16:07

10113

Execryptor 有线程逃跑, 大概意思就是
一开始有个线程祖宗(主线程), 然后它生了一个儿子线程, 你跑一半,我跑一半
然后儿子可以继续生儿子
最后子孙们把该跑的都该完, 祖宗继续执行下面的

这东西其实是纸老虎, 不过Execryptor花指令比较厉害,
然后子孙们会狼狈为奸, 所以不小心的话很容易中招

我把框架扣了出来, C++的
实际中可能并不怎么好使, 因为VC编译出来很多会从esp找参数和变量
子孙们的esp是不同的, 容易挂, 如果是ebp方式的成功率就高

有兴趣的可以作份delphi的, delphi会好一些, 多是ebp的

使用的时候成对加, 可以嵌套

tp.h

#ifndef _T_P_H_
#define _T_P_H_

#include <windows.h>

#define TP_START if (tp_protect())\
	{

#define TP_END __asm retn\
	}

	BOOL tp_protect();


#endif //_T_P_H_

tp.cpp

#include "tp.h"

DWORD WINAPI tp_therad(LPVOID lParam)
{
	__asm
	{
		push ebp
		mov eax, lParam
		mov ecx, [eax]
		add eax, 4
		mov ebx, [eax]
		add eax, 4
		mov edi, [eax]
		add eax, 4
		mov esi, [eax]
		add eax, 4
		mov ebp, [eax]
		add eax, 4
		mov edx, [eax]
		mov eax, 1
		call edx
		pop ebp
	}
	return 0;
}

BOOL __declspec(naked) tp_protect()
{
	__asm
	{
		push ebp
		push esi
		push edi
		push ebx
		push ecx
		mov eax, esp
		push 0
		mov edx, esp
		push edx
		push 0
		push eax
		lea eax, tp_therad
		push eax
		push 0
		push 0
		call dword ptr [CreateThread]
		pop edx
		push eax
		push -1
		push eax
		call dword ptr [WaitForSingleObject]
		call dword ptr [CloseHandle]
		add esp, 0x10
		pop ebp
		xor eax, eax
		retn
	}
}

aaa.cpp 测试程序

#include <windows.h>
#include "tp.h"

#pragma comment (linker, "/subsystem:windows")

int WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int)
{
	char p[]= "0";
	MessageBox(0, p, p, 0);
	TP_START
	p[0]++;
	TP_START
	TP_START
	p[0]++;
	TP_START
	MessageBox(0, p, p, 0);
	TP_END
	TP_START
	TP_END
	TP_END
	p[0]++;
	TP_END
	TP_START
	MessageBox(0, p, p, 0);
	TP_END
	TP_END
	return 0;
}

[课程]Android-CTF解题方法汇总！

上传的附件：

tp.rar （11.85kb，76次下载）

收藏・7

免费・7

支持

最新回复 (24)
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 2 楼膜拜ing 　　完全不懂 2007-11-22 16:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼顶起 2007-11-22 16:35 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 4 楼学习了 2007-11-22 16:42 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 5 楼顶 2007-11-22 17:07 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼我就会几个单词，什么paper呀tiger呀 2007-11-22 17:57 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 7 楼很好很大没看懂 2007-11-22 18:16 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 8 楼 C++都炉火纯青了... 2007-11-22 18:56 0
newsoft 雪币： 236 活跃值： (11) 能力值： ( LV9，RANK：180 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	newsoft 4 9 楼这才是“水牛”了 2007-11-22 20:25 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 10 楼血洗,血洗! 框架才是最难的东西... 2007-11-23 12:22 0
softbihu 雪币： 226 活跃值： (179) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 103 粉丝 1 关注私信	softbihu 3 11 楼太帅了~ 膜拜~ 2007-11-23 12:26 0
inraining 雪币： 234 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 411 粉丝 0 关注私信	inraining 2 12 楼學習學習! 2007-11-23 12:29 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 13 楼收藏~~~~~~~~~~~~ 2007-11-23 12:31 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 5 关注私信	dummy 23 14 楼膜拜~~ 2007-11-23 14:15 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 15 楼顶起啊!! SHOOOO为Execryptor计划生育 2007-11-23 17:08 0
fool 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	fool 16 楼太强了，顶起 2007-11-23 18:09 0
freecat 雪币： 191 活跃值： (1978) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 163 粉丝 5 关注私信	freecat 1 17 楼 99% Delphi版 program Project1; uses Windows; var p : string = '0'; {$R *.res} function tp_thread(lParam : Pointer) : DWORD; stdcall; var Retn : procedure; stdcall; begin Retn := lParam; Retn; Result := 0; end; function tp_proctect : BOOL; stdcall; var dwThreadHandle, dwThread : DWORD; lParam : Pointer; begin asm //1%的汇编了没想到其它的办法那位Delphi牛人指教一下 mov eax, [esp + $14] mov lParam, eax end; dwThreadHandle := CreateThread(nil, 0, @tp_thread, lParam, 0, dwThread); WaitForSingleObject(dwThreadHandle, INFINITE); CloseHandle(dwThreadHandle); Result := True; end; begin MessageBox(0, PChar(p), PChar(p), 0); {$i tp_start.inc} Inc(Byte(p[1])); {$i tp_start.inc} {$i tp_start.inc} Inc(Byte(p[1])); {$i tp_start.inc} MessageBox(0, PChar(p), PChar(p), 0); {$i tp_end.inc} {$i tp_start.inc} {$i tp_end.inc} {$i tp_end.inc} Inc(Byte(p[1])); {$i tp_end.inc} {$i tp_start.inc} MessageBox(0, PChar(p), PChar(p), 0); {$i tp_end.inc} {$i tp_end.inc} end. {$i tp_start.inc} if tp_proctect then begin {$i tp_end.inc} end; 2007-11-24 04:01 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 18 楼 csdn这样说，我是完全不懂，不知道对cat老大有没有帮助 lpParameter指针类型，线程的传入参数，我们如果想给线程执行体ThreadProc传递我们自己的数据，就要通过它 2007-11-25 11:25 0
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 19 楼膜拜 . 2007-11-25 17:06 0
freecat 雪币： 191 活跃值： (1978) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 163 粉丝 5 关注私信	freecat 1 20 楼 [QUOTE=fonge;384612]csdn这样说，我是完全不懂，不知道对cat老大有没有帮助 lpParameter指针类型，线程的传入参数，我们如果想给线程执行体ThreadProc传递我们自己的数据，就要通过它 [/QUOTE] 嗯是这样所以我传入了让他逃跑的地址 2007-11-25 23:07 0
我是战天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	我是战天 21 楼我有一个软件想找人帮我脱壳，付款（￥500RMB）请高人呀，成功脱壳后先款后货！ 2007-12-7 15:27 0
LOVE 雪币： 2003 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 246 粉丝 1 关注私信	LOVE 22 楼上海四环是强啊 2007-12-7 16:15 0
天字一号雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	天字一号 23 楼顶起,努力学习中........ 2007-12-7 17:18 0
bbbsl 雪币： 111 活跃值： (176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 124 粉丝 0 关注私信	bbbsl 24 楼看得迷迷糊糊,想了半天似乎是懂了个七八分 2007-12-22 04:11 0
china 雪币： 3511 活跃值： (4037) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 25 楼看不懂的飘过 2007-12-22 13:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shoooo

发帖

2169

回帖

650

RANK

关注

私信

他的文章

[求助]投诉shellwolf版主 5641

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 2 楼膜拜ing 　　完全不懂 2007-11-22 16:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼顶起 2007-11-22 16:35 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 4 楼学习了 2007-11-22 16:42 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 5 楼顶 2007-11-22 17:07 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼我就会几个单词，什么paper呀tiger呀 2007-11-22 17:57 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 7 楼很好很大没看懂 2007-11-22 18:16 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 8 楼 C++都炉火纯青了... 2007-11-22 18:56 0
newsoft 雪币： 236 活跃值： (11) 能力值： ( LV9，RANK：180 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	newsoft 4 9 楼这才是“水牛”了 2007-11-22 20:25 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 10 楼血洗,血洗! 框架才是最难的东西... 2007-11-23 12:22 0
softbihu 雪币： 226 活跃值： (179) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 103 粉丝 1 关注私信	softbihu 3 11 楼太帅了~ 膜拜~ 2007-11-23 12:26 0
inraining 雪币： 234 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 411 粉丝 0 关注私信	inraining 2 12 楼學習學習! 2007-11-23 12:29 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 13 楼收藏~~~~~~~~~~~~ 2007-11-23 12:31 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 5 关注私信	dummy 23 14 楼膜拜~~ 2007-11-23 14:15 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 15 楼顶起啊!! SHOOOO为Execryptor计划生育 2007-11-23 17:08 0
fool 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	fool 16 楼太强了，顶起 2007-11-23 18:09 0
freecat 雪币： 191 活跃值： (1978) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 163 粉丝 5 关注私信	freecat 1 17 楼 99% Delphi版 program Project1; uses Windows; var p : string = '0'; {$R *.res} function tp_thread(lParam : Pointer) : DWORD; stdcall; var Retn : procedure; stdcall; begin Retn := lParam; Retn; Result := 0; end; function tp_proctect : BOOL; stdcall; var dwThreadHandle, dwThread : DWORD; lParam : Pointer; begin asm //1%的汇编了没想到其它的办法那位Delphi牛人指教一下 mov eax, [esp + $14] mov lParam, eax end; dwThreadHandle := CreateThread(nil, 0, @tp_thread, lParam, 0, dwThread); WaitForSingleObject(dwThreadHandle, INFINITE); CloseHandle(dwThreadHandle); Result := True; end; begin MessageBox(0, PChar(p), PChar(p), 0); {$i tp_start.inc} Inc(Byte(p[1])); {$i tp_start.inc} {$i tp_start.inc} Inc(Byte(p[1])); {$i tp_start.inc} MessageBox(0, PChar(p), PChar(p), 0); {$i tp_end.inc} {$i tp_start.inc} {$i tp_end.inc} {$i tp_end.inc} Inc(Byte(p[1])); {$i tp_end.inc} {$i tp_start.inc} MessageBox(0, PChar(p), PChar(p), 0); {$i tp_end.inc} {$i tp_end.inc} end. {$i tp_start.inc} if tp_proctect then begin {$i tp_end.inc} end; 2007-11-24 04:01 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 18 楼 csdn这样说，我是完全不懂，不知道对cat老大有没有帮助 lpParameter指针类型，线程的传入参数，我们如果想给线程执行体ThreadProc传递我们自己的数据，就要通过它 2007-11-25 11:25 0
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 19 楼膜拜 . 2007-11-25 17:06 0
freecat 雪币： 191 活跃值： (1978) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 163 粉丝 5 关注私信	freecat 1 20 楼 [QUOTE=fonge;384612]csdn这样说，我是完全不懂，不知道对cat老大有没有帮助 lpParameter指针类型，线程的传入参数，我们如果想给线程执行体ThreadProc传递我们自己的数据，就要通过它 [/QUOTE] 嗯是这样所以我传入了让他逃跑的地址 2007-11-25 23:07 0
我是战天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	我是战天 21 楼我有一个软件想找人帮我脱壳，付款（￥500RMB）请高人呀，成功脱壳后先款后货！ 2007-12-7 15:27 0
LOVE 雪币： 2003 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 246 粉丝 1 关注私信	LOVE 22 楼上海四环是强啊 2007-12-7 16:15 0
天字一号雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	天字一号 23 楼顶起,努力学习中........ 2007-12-7 17:18 0
bbbsl 雪币： 111 活跃值： (176) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 124 粉丝 0 关注私信	bbbsl 24 楼看得迷迷糊糊,想了半天似乎是懂了个七八分 2007-12-22 04:11 0
china 雪币： 3511 活跃值： (4037) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 25 楼看不懂的飘过 2007-12-22 13:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复