飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 2486|回复: 3

木马PCView 2006[F.S.T]专版外壳脱壳加去除CRC

[复制链接]

该用户从未签到

发表于 2006-2-3 20:41:08 | 显示全部楼层 |阅读模式
【作者大名】fobnn
【作者邮箱】luoyue_2005@163.com
【作者主页】www.hack58.com
【使用工具】OD PEID LORDPE ImportREC1.42
【操作系统】Windows XP
【软件名称】PCView 2006[F.S.T]专版
【下载地址】http://blog.sohu.com/members/PCViewrat
【软件大小】1.16M
【加壳方式】N.sPACK 3.x
【软件简介】
PCView是一款功能强大的远程控制软件,其采用反弹连接技术对客户机进行控制。其具特点如下:
(1)用户只需要一个固定的IP地址、动态域名或者一台FTP服务器,即可在任何时间、任何地点使用PCView随心所欲的对客户机进行网络管理。
(2)内建动态域名解析程序,更可以让您省去安装动态域名客户端解析程序的麻烦,让您轻轻松松解析、轻轻松松上
线。
(3)其自带的网络嗅探、协议嗅探、端口转发功能更是国内远程控制软件所罕见的。而其还带有视频监控、语音监控,更可以让您将您的计算机变成一台十足的 \"网络特警\"。您可以在您上班的时候,利用它查看您家里的动静。

破解声明】我是一只小菜鸟,偶得一点心得,愿与大家分享:)
----------------------------------------------------------------------

【内容】

①。PEID查看敌情
Nothing found *晕死不知是啥壳.

②OD载入
0077AA59 P>  9C                  pushfd                    ;OD停在这里,典型的北斗壳入口!
0077AA5A     60                  pushad                  
0077AA5B     E8 00000000         call PCView_2.0077AA60  ;F8单步到这,看看ESP值,我们下段hr esp回车,F9运行
0077AA60     5D                  pop ebp
0077AA61     83ED 07             sub ebp,7
0077AA64     8D85 9FF9FFFF       lea eax,dword ptr ss:[ebp-661]
0077AA6A     8038 01             cmp byte ptr ds:[eax],1
0077AA6D     0F84 42020000       je PCView_2.0077ACB5
0077AA73     C600 01             mov byte ptr ds:[eax],1
0077AA76     8BD5                mov edx,ebp
0077AA78     2B95 33F9FFFF       sub edx,dword ptr ss:[ebp-6CD]
0077AA7E     8995 33F9FFFF       mov dword ptr ss:[ebp-6CD],edx
0077AA84     0195 63F9FFFF       add dword ptr ss:[ebp-69D],edx
0077AA8A     8DB5 A7F9FFFF       lea esi,dword ptr ss:[ebp-659]
0077AA90     0116                add dword ptr ds:[esi],edx
0077AA92     60                  pushad
0077AA93     6A 40               push 40
0077AA95     68 00100000         push 1000
0077AA9A     68 00100000         push 1000
0077AA9F     6A 00               push 0
0077AAA1     FF95 DBF9FFFF       call dword ptr ss:[ebp-625]
0077AAA7     85C0                test eax,eax
0077AAA9     0F84 6A030000       je PCView_2.0077AE19

0077AA5A     60                  pushad
0077AA5B     E8 00000000         call PCView_2.0077AA60
0077AA60     5D                  pop ebp
0077AA61     83ED 07             sub ebp,7
0077AA64     8D85 9FF9FFFF       lea eax,dword ptr ss:[ebp-661]
0077AA6A     8038 01             cmp byte ptr ds:[eax],1
0077AA6D     0F84 42020000       je PCView_2.0077ACB5
0077AA73     C600 01             mov byte ptr ds:[eax],1
0077AA76     8BD5                mov edx,ebp
0077AA78     2B95 33F9FFFF       sub edx,dword ptr ss:[ebp-6CD]
0077AA7E     8995 33F9FFFF       mov dword ptr ss:[ebp-6CD],edx
0077AA84     0195 63F9FFFF       add dword ptr ss:[ebp-69D],edx
0077AA8A     8DB5 A7F9FFFF       lea esi,dword ptr ss:[ebp-659]
0077AA90     0116                add dword ptr ds:[esi],edx
0077AA92     60                  pushad
0077AA93     6A 40               push 40
0077AA95     68 00100000         push 1000
0077AA9A     68 00100000         push 1000
0077AA9F     6A 00               push 0
0077AAA1     FF95 DBF9FFFF       call dword ptr ss:[ebp-625]
0077AAA7     85C0                test eax,eax
0077AAA9     0F84 6A030000       je PCView_2.0077AE19


0077ACCA     9D                  popfd                       ;到这里断下,我们F8单步
0077ACCB   - E9 1C9FE4FF         jmp PCView_2.005C4BEC
0077ACD0     8BB5 2BF9FFFF       mov esi,dword ptr ss:[ebp-6D5]
0077ACD6     0BF6                or esi,esi
0077ACD8     0F84 97000000       je PCView_2.0077AD75
0077ACDE     8B95 33F9FFFF       mov edx,dword ptr ss:[ebp-6CD]


005C4BEC   /.  55                push ebp             ;F8大约两步之后,到达OEP
005C4BED   |.  8BEC              mov ebp,esp
005C4BEF   |.  83C4 F0           add esp,-10
005C4BF2   |.  53                push ebx
005C4BF3   |.  56                push esi
005C4BF4   |.  57                push edi
005C4BF5   |.  B8 B4435C00       mov eax,PCView_2.005C43B4
005C4BFA   |.  E8 D925E4FF       call PCView_2.004071D8
005C4BFF   |.  A1 542C5D00       mov eax,dword ptr ds:[5D2C54]
005C4C04   |.  8B00              mov eax,dword ptr ds:[eax]
005C4C06   |.  E8 4DC8F0FF       call PCView_2.004D1458
005C4C0B   |.  A1 542C5D00       mov eax,dword ptr ds:[5D2C54]
005C4C10   |.  8B00              mov eax,dword ptr ds:[eax]
005C4C12   |.  BA 6C4F5C00       mov edx,PCView_2.005C4F6C           ;  ASCII \"PCView 2006\"
005C4C17   |.  E8 34C4F0FF       call PCView_2.004D1050
005C4C1C   |.  33C9              xor ecx,ecx
005C4C1E   |.  B2 01             mov dl,1
005C4C20   |.  A1 58405C00       mov eax,dword ptr ds:[5C4058]
005C4C25   |.  E8 8E4FF0FF       call PCView_2.004C9BB8
005C4C2A   |.  8B15 402A5D00     mov edx,dword ptr ds:[5D2A40]       ;  PCView_2.005D7E08
005C4C30   |.  8902              mov dword ptr ds:[edx],eax


dump,fix

----------------------------------------------------------------------

【总结】

脱壳后程序无法运行程序有自校验,很简单,我就不跟了。
直接给出Patch
44c5d5 je short 0044C637 ;44c5d5 jmp short 0044C637

BY:fobnn QQ:380838221   2006.1.8 17:36

--------------------------------------------------------------------------------

【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
PYG19周年生日快乐!
  • TA的每日心情
    无聊
    2020-4-10 17:02
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2006-2-10 18:41:54 | 显示全部楼层
    学习了!!!!
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2006-2-11 11:38:02 | 显示全部楼层
    不错。学习的说。
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2024-1-26 15:30
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2006-2-15 00:32:03 | 显示全部楼层
    希望LZ把定位到自校验的步骤也仔细说下~THX
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表