首页
社区
课程
招聘
[求助]如何调试IIS调用的DLL?!
发表于: 2008-7-4 23:52 10548

[求助]如何调试IIS调用的DLL?!

2008-7-4 23:52
10548
【求助】如何调试IIS调用的DLL?!
最近在搞一个网站,大部份ASP代码是加了密的,文件内容是这样的:
<%@ Language="VBSCRIPT" %>

<% '
  On Error Resume Next
  Set MyAspAppG = Server.CreateObject("AspAppGX.AspDecoder")
  If Not IsObject(MyAspAppG) Then
    Response.Write "请先运行Setup_Ent.exe并注册组件!"
    Response.End
  End If
  MyAspAppG.Tag = "S*Bkm6rY*)2Nq?hex"
  MyAspAppG.Crc64 = "7233pWWdDIqzcmmwqBydo?o"
  MyAspAppG.Crc32 = "V55TiFXOC0T9PMlg2NFMTcHN9gUDtVXMyfOVufi58cI="
  MyAspAppG.AddCode "fY1s7S2d5fenvZ95p82zoy/lXN50des7TeSaGGPTUh3Evktuj1aYKouzrehs05WklPqM5p2URuIFXJWN"
  MyAspAppG.AddCode "uwA5HZFuhjaXdRdMwFDia7JQ80ze3EkakSYyNds2pIwf3d6PlFh6bPmkjzvUVj44b6WvylLUufn+o9km"
  MyAspAppG.AddCode "+mnvoW1apx6g/wWKdkoLW+PxQqVw4VnMJ/XPWKM6Bacq/VLfPyTzFqFJ61pJdm0+QVi8CJ6iZUM1KlzL"
  MyAspAppG.AddCode "25AS68JNc3XiJH2bqtePaz+TzzTLhWk="
  MyAspAppG.Execute
  'Set MyAspAppG = nothing
%>
现在我知道IIS服务W3WP.exe会调用它的一个名为AspAppGX.DLL的动态链接库,这个动态链接库很使用了很多加密算法,crc32、

TIGER、TWOFISH、BLOWFISH、SHARK、TEA等,用cryptosearcher0.97检测出来的有十二种之多。看来从算法分析的话难度很大。
我想的是,W3WP确实是会读加密过的ASP,然后再调用AspAppGX.DLL来解密,解密后的ASP应该还会返回W3WP,再按正常ASP的执行去

调用相关的程序执行。
我主要想拦截W3WP和AspAppGX.DLL之间的调用参数和返回值,应该能有所发现,但具体不知道怎么做,用OD调W3WP也没个头绪,附加上去后三下两下就终止了。直接用OD调AppGX.DLL搞半天也不知道它们之间的参数如何传递。
这个问题怎么解决?特向大家请教!谢谢!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 104
活跃值: (73)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
用C32ASM打开DLL文件,跳到DLL的入口点,在十六进制编辑模式改为CC。然后在OD里面把它设置为系统的实时调试器。直接在IIS中打开页面就可以了。系统会弹出一个程序调试的对话框,点“调试”按钮,OD就会自动附加到该DLL上,别忘了把CC改为原来的代码就行了。
2008-7-5 21:55
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
楼上的,非常感谢!
2008-7-6 11:16
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这是否就是故意使得dll导入出错,转入错误机制处理?
2008-7-6 22:49
0
雪    币: 104
活跃值: (73)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
是的,int3是断点异常,因为应用程序刚开始运行,还没有安装异常处理函数,该异常处理就会一直抛到操作系统的异常处理函数。
2008-7-7 08:31
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
请问楼主成功了没?
2008-9-25 02:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
强烈要求公布是否成功
2008-12-29 14:00
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
功力不够,没有成功。
根据二楼所说的,都改了,但是“IIS中打开页面就可以了。系统会弹出一个程序调试的对话框,点“调试”按钮,OD就会自动附加到该DLL上,”这个对话框没有出现。也不知道是什么原因。
2008-12-30 11:27
0
雪    币: 187
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
大家去买本加密与解密第三版吧,第10页左右就讲了怎么进行附加调试,跟刘国华讲的差不多。
2008-12-30 16:17
0
游客
登录 | 注册 方可回帖
返回
//