- UID
- 5364
注册时间2005-12-18
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
【作者大名】fobnn
【作者邮箱】[email protected]
【作者主页】www.hack58.com
【使用工具】OD PEID LORDPE ImportREC1.42
【操作系统】Windows XP
【软件名称】PCView 2006[F.S.T]专版
【下载地址】http://blog.sohu.com/members/PCViewrat
【软件大小】1.16M
【加壳方式】N.sPACK 3.x
【软件简介】
PCView是一款功能强大的远程控制软件,其采用反弹连接技术对客户机进行控制。其具特点如下:
(1)用户只需要一个固定的IP地址、动态域名或者一台FTP服务器,即可在任何时间、任何地点使用PCView随心所欲的对客户机进行网络管理。
(2)内建动态域名解析程序,更可以让您省去安装动态域名客户端解析程序的麻烦,让您轻轻松松解析、轻轻松松上
线。
(3)其自带的网络嗅探、协议嗅探、端口转发功能更是国内远程控制软件所罕见的。而其还带有视频监控、语音监控,更可以让您将您的计算机变成一台十足的 \"网络特警\"。您可以在您上班的时候,利用它查看您家里的动静。
【破解声明】我是一只小菜鸟,偶得一点心得,愿与大家分享:)
----------------------------------------------------------------------
【内容】
①。PEID查看敌情
Nothing found *晕死不知是啥壳.
②OD载入
0077AA59 P> 9C pushfd ;OD停在这里,典型的北斗壳入口!
0077AA5A 60 pushad
0077AA5B E8 00000000 call PCView_2.0077AA60 ;F8单步到这,看看ESP值,我们下段hr esp回车,F9运行
0077AA60 5D pop ebp
0077AA61 83ED 07 sub ebp,7
0077AA64 8D85 9FF9FFFF lea eax,dword ptr ss:[ebp-661]
0077AA6A 8038 01 cmp byte ptr ds:[eax],1
0077AA6D 0F84 42020000 je PCView_2.0077ACB5
0077AA73 C600 01 mov byte ptr ds:[eax],1
0077AA76 8BD5 mov edx,ebp
0077AA78 2B95 33F9FFFF sub edx,dword ptr ss:[ebp-6CD]
0077AA7E 8995 33F9FFFF mov dword ptr ss:[ebp-6CD],edx
0077AA84 0195 63F9FFFF add dword ptr ss:[ebp-69D],edx
0077AA8A 8DB5 A7F9FFFF lea esi,dword ptr ss:[ebp-659]
0077AA90 0116 add dword ptr ds:[esi],edx
0077AA92 60 pushad
0077AA93 6A 40 push 40
0077AA95 68 00100000 push 1000
0077AA9A 68 00100000 push 1000
0077AA9F 6A 00 push 0
0077AAA1 FF95 DBF9FFFF call dword ptr ss:[ebp-625]
0077AAA7 85C0 test eax,eax
0077AAA9 0F84 6A030000 je PCView_2.0077AE19
0077AA5A 60 pushad
0077AA5B E8 00000000 call PCView_2.0077AA60
0077AA60 5D pop ebp
0077AA61 83ED 07 sub ebp,7
0077AA64 8D85 9FF9FFFF lea eax,dword ptr ss:[ebp-661]
0077AA6A 8038 01 cmp byte ptr ds:[eax],1
0077AA6D 0F84 42020000 je PCView_2.0077ACB5
0077AA73 C600 01 mov byte ptr ds:[eax],1
0077AA76 8BD5 mov edx,ebp
0077AA78 2B95 33F9FFFF sub edx,dword ptr ss:[ebp-6CD]
0077AA7E 8995 33F9FFFF mov dword ptr ss:[ebp-6CD],edx
0077AA84 0195 63F9FFFF add dword ptr ss:[ebp-69D],edx
0077AA8A 8DB5 A7F9FFFF lea esi,dword ptr ss:[ebp-659]
0077AA90 0116 add dword ptr ds:[esi],edx
0077AA92 60 pushad
0077AA93 6A 40 push 40
0077AA95 68 00100000 push 1000
0077AA9A 68 00100000 push 1000
0077AA9F 6A 00 push 0
0077AAA1 FF95 DBF9FFFF call dword ptr ss:[ebp-625]
0077AAA7 85C0 test eax,eax
0077AAA9 0F84 6A030000 je PCView_2.0077AE19
③
0077ACCA 9D popfd ;到这里断下,我们F8单步
0077ACCB - E9 1C9FE4FF jmp PCView_2.005C4BEC
0077ACD0 8BB5 2BF9FFFF mov esi,dword ptr ss:[ebp-6D5]
0077ACD6 0BF6 or esi,esi
0077ACD8 0F84 97000000 je PCView_2.0077AD75
0077ACDE 8B95 33F9FFFF mov edx,dword ptr ss:[ebp-6CD]
④
005C4BEC /. 55 push ebp ;F8大约两步之后,到达OEP
005C4BED |. 8BEC mov ebp,esp
005C4BEF |. 83C4 F0 add esp,-10
005C4BF2 |. 53 push ebx
005C4BF3 |. 56 push esi
005C4BF4 |. 57 push edi
005C4BF5 |. B8 B4435C00 mov eax,PCView_2.005C43B4
005C4BFA |. E8 D925E4FF call PCView_2.004071D8
005C4BFF |. A1 542C5D00 mov eax,dword ptr ds:[5D2C54]
005C4C04 |. 8B00 mov eax,dword ptr ds:[eax]
005C4C06 |. E8 4DC8F0FF call PCView_2.004D1458
005C4C0B |. A1 542C5D00 mov eax,dword ptr ds:[5D2C54]
005C4C10 |. 8B00 mov eax,dword ptr ds:[eax]
005C4C12 |. BA 6C4F5C00 mov edx,PCView_2.005C4F6C ; ASCII \"PCView 2006\"
005C4C17 |. E8 34C4F0FF call PCView_2.004D1050
005C4C1C |. 33C9 xor ecx,ecx
005C4C1E |. B2 01 mov dl,1
005C4C20 |. A1 58405C00 mov eax,dword ptr ds:[5C4058]
005C4C25 |. E8 8E4FF0FF call PCView_2.004C9BB8
005C4C2A |. 8B15 402A5D00 mov edx,dword ptr ds:[5D2A40] ; PCView_2.005D7E08
005C4C30 |. 8902 mov dword ptr ds:[edx],eax
⑤
dump,fix
----------------------------------------------------------------------
【总结】
脱壳后程序无法运行程序有自校验,很简单,我就不跟了。
直接给出Patch
44c5d5 je short 0044C637 ;44c5d5 jmp short 0044C637
BY:fobnn QQ:380838221 2006.1.8 17:36
--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢! |
|
IP卡
发表于 2006-2-3 20:41:08
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2006-2-10 18:41:54
发表于 2006-2-11 11:38:02
