-
-
[求助]如何调试IIS调用的DLL?!
-
发表于:
2008-7-4 23:52
10548
-
【求助】如何调试IIS调用的DLL?!
最近在搞一个网站,大部份ASP代码是加了密的,文件内容是这样的:
<%@ Language="VBSCRIPT" %>
<% '
On Error Resume Next
Set MyAspAppG = Server.CreateObject("AspAppGX.AspDecoder")
If Not IsObject(MyAspAppG) Then
Response.Write "请先运行Setup_Ent.exe并注册组件!"
Response.End
End If
MyAspAppG.Tag = "S*Bkm6rY*)2Nq?hex"
MyAspAppG.Crc64 = "7233pWWdDIqzcmmwqBydo?o"
MyAspAppG.Crc32 = "V55TiFXOC0T9PMlg2NFMTcHN9gUDtVXMyfOVufi58cI="
MyAspAppG.AddCode "fY1s7S2d5fenvZ95p82zoy/lXN50des7TeSaGGPTUh3Evktuj1aYKouzrehs05WklPqM5p2URuIFXJWN"
MyAspAppG.AddCode "uwA5HZFuhjaXdRdMwFDia7JQ80ze3EkakSYyNds2pIwf3d6PlFh6bPmkjzvUVj44b6WvylLUufn+o9km"
MyAspAppG.AddCode "+mnvoW1apx6g/wWKdkoLW+PxQqVw4VnMJ/XPWKM6Bacq/VLfPyTzFqFJ61pJdm0+QVi8CJ6iZUM1KlzL"
MyAspAppG.AddCode "25AS68JNc3XiJH2bqtePaz+TzzTLhWk="
MyAspAppG.Execute
'Set MyAspAppG = nothing
%>
现在我知道IIS服务W3WP.exe会调用它的一个名为AspAppGX.DLL的动态链接库,这个动态链接库很使用了很多加密算法,crc32、
TIGER、TWOFISH、BLOWFISH、SHARK、TEA等,用cryptosearcher0.97检测出来的有十二种之多。看来从算法分析的话难度很大。
我想的是,W3WP确实是会读加密过的ASP,然后再调用AspAppGX.DLL来解密,解密后的ASP应该还会返回W3WP,再按正常ASP的执行去
调用相关的程序执行。
我主要想拦截W3WP和AspAppGX.DLL之间的调用参数和返回值,应该能有所发现,但具体不知道怎么做,用OD调W3WP也没个头绪,附加上去后三下两下就终止了。直接用OD调AppGX.DLL搞半天也不知道它们之间的参数如何传递。
这个问题怎么解决?特向大家请教!谢谢!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)