飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 29803|回复: 80

[原创] Office Tab 13.10 过黑名单 简明版 by ZeNiX 2018-04-02

    [复制链接]
  • TA的每日心情
    开心
    2019-3-14 10:36
  • 签到天数: 44 天

    [LV.5]常住居民I

    发表于 2018-4-2 17:04:35 | 显示全部楼层 |阅读模式
    Office Tab13.10  过黑名单 简明版 by ZeNiX  2018-04-02
    上一篇的方法,大家搞定了没有呢?
    由于发现不少朋友一直搞不定,于是我再介绍个简单的姿势给大家练习。
    有些上一篇提到过的内容,在这里就不重复了。
    有需要的时候,记得回去翻翻上一篇。
    首先我们需要知道:有个核心的 DLL 是隐藏在 Userdata.dat 里面,验证注册信息时动态释放的。
    我们在 VirtualAlloc 下断点,观察是否来自 Userdata 以及大小为 2150400
    001.jpg
    file:///F:/TMP/msohtmlclip1/01/clip_image001.jpg
    然后再 VirtualAlloc 返回的地方停下来,新申请的内存区块基址保存在 EAX。
    我们现在就跟随过去看的话,内容还是空的。
    这时候可以取消对 VirtualAlloc 的断点了。
    002.jpg
    file:///F:/TMP/msohtmlclip1/01/clip_image003.jpg

    从 VirtualAlloc 返回后,会回到 Userdata 的领空。
    然后,它开始往刚才申请的内存里面填充代码。
    有兴趣的朋友可以慢慢跟随代码,了解过程。
    赶时间的朋友,直接往下拉到返回的地方,按一下 F4 让它跑到这里停下来。(喜欢 F2 再 F9 的也可以。)
    003.jpg
    file:///F:/TMP/msohtmlclip1/01/clip_image005.jpg
    这时候代码已经填充完毕,但这里并不是真实运行的代码,这里的代码会被搬到另一个内存空间去运行。
    我们在它被复制过去之前,就修改的话,复制过去的代码也会跟我们修改过的一样。
    004.jpg
    file:///F:/TMP/msohtmlclip1/01/clip_image007.jpgfile:///F:/TMP/msohtmlclip1/01/clip_image009.jpg
    005.jpg
    这段搜索的代码,就是比对黑名单的代码。 [eax] 以及 [ecx] 就是上一篇那个不容易搞清楚的黑名单地址。
    由于我个人比较调皮,修改的方式比较随性,跟一般的教程不太一样,这只是个人风格,没有好或坏之分。
    8B30            mov esi,dword ptr ds:[eax]
    3B31            cmp esi,dword ptr ds:[ecx]
    7474           je short 02AAE29B
    006.jpg
    file:///F:/TMP/msohtmlclip1/01/clip_image010.jpg
    补充一点,刚才提到我们修改的代码会被复制到另一个内存空间去运行。
    因此,万一你在内存搜索的时候发现找到两个,那么就是错过第一时机了,不要紧,修改第二个就行了。
    不放心的话,两个都修改吧!
    8B 30 3B31 74 74
    -- -- ---- 48 90
    file:///F:/TMP/msohtmlclip1/01/clip_image012.png

    如果曾经注册成功过,它会在系统里面写入注册信息。
    每次启动的时候,都会去验证,因此交给你们自己想想该怎么应付它。
    007.jpg
    file:///F:/TMP/msohtmlclip1/01/clip_image014.jpg
    ZeNiX
    2018-04-02

    Office Tab 13.10 过黑名单 简明版 by ZeNiX 2018-04-02.rar

    673.2 KB, 下载次数: 189, 下载积分: 飘云币 -2 枚

    售价: 5 枚飘云币  [记录]

    PDF 珍藏版

    SECURITY.DLL.zip

    812.98 KB, 下载次数: 255, 下载积分: 飘云币 -2 枚

    评分

    参与人数 10威望 +136 飘云币 +436 收起 理由
    1330856050 + 4 原创精品 感谢分享!
    TNT_KGD + 4 PYG有你更精彩!
    llh001 + 4 PYG有你更精彩!
    0xcb + 4 + 4 Z大给力
    believeme + 4 PYG有你更精彩!
    GGLHY + 80 + 400 真是帅得没朋友~
    不破不立 + 20 + 20 PYG有你更精彩!
    wgz001 + 8 + 8 感谢发布原创作品!
    610100 + 4 感谢发布原创作品!
    风轻云淡 + 1 赞一个!

    查看全部评分

    PYG19周年生日快乐!
  • TA的每日心情
    奋斗
    2019-3-11 10:31
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2018-4-2 17:24:48 | 显示全部楼层
    我是第一个吗,又学新姿势,自己技术水平不佳,慢慢学着找吧
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2019-8-20 21:50
  • 签到天数: 230 天

    [LV.7]常住居民III

    发表于 2018-4-2 18:20:33 | 显示全部楼层
    感谢Z大,努力学习!
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2023-11-16 16:09
  • 签到天数: 821 天

    [LV.10]以坛为家III

    发表于 2018-4-2 18:25:56 | 显示全部楼层
    前排支持,谢谢分享~!
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2 小时前
  • 签到天数: 1791 天

    [LV.Master]伴坛终老

    发表于 2018-4-2 19:02:41 | 显示全部楼层
    谢谢大Z的提供下载玩玩好好学习
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    半小时前
  • 签到天数: 2112 天

    [LV.Master]伴坛终老

    发表于 2018-4-2 19:55:22 | 显示全部楼层
    謝謝大Z哥的提供,又學了一招
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    13 小时前
  • 签到天数: 1524 天

    [LV.Master]伴坛终老

    发表于 2018-4-2 20:42:45 | 显示全部楼层
    z大心情特好~~
    有喜事
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-2-3 20:23
  • 签到天数: 448 天

    [LV.9]以坛为家II

    发表于 2018-4-2 21:40:16 | 显示全部楼层
    谢谢大侠分享,下载收藏。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-2-3 20:23
  • 签到天数: 448 天

    [LV.9]以坛为家II

    发表于 2018-4-2 22:03:54 | 显示全部楼层
    大侠,直接给我们一个 Patch 吧!!!
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表