设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools飘云阁工具包(已更新第4季)
返回列表 发新帖
查看: 3029|回复: 1

[原创] fint2005木马辅助查找器分析之[手脱PECompact 2.x -> Jeremy Collake]

[复制链接]
3245129

该用户从未签到
发表于 2008-2-5 06:19:35 | 显示全部楼层 |阅读模式
本文出自:[宝宝]

地址:http://hi.baidu.com/hack69

转载请著名出处~谢谢

这段时间比较郁闷.好不容易在朋友那换了个[fint2005木马辅助查找器]米想到功能还不如冰刃..哎~偶哪肯让这么好的一个软件浮水东流呢?

于是决定对葛军大哥的软件进行下优化修改....嘿嘿

拿出peid查壳发现:




郁闷.又是一牛壳....哎既然要拿od载入发现,也不象想像中的那么难脱~~米到半分钟就把他脱掉了

如图:



嘿嘿...继续研究..有新的发现在拿上来分享


正文:od载入

00401000 f> B8 D0325400     mov eax,fint2005.005432D0
00401005     50              push eax
00401006     64:FF35 0000000>push dword ptr fs:[0]
0040100D     64:8925 0000000>mov dword ptr fs:[0],esp     -----------esp下断 f8运行 [上]
00401014     33C0            xor eax,eax
00401016     8908            mov dword ptr ds:[eax],ecx
00401018     50              push eax
00401019     45              inc ebp
0040101A     43              inc ebx
0040101B     6F              outs dx,dword ptr es:[edi]
0040101C     6D              ins dword ptr es:[edi],dx
0040101D     70 61           jo short fint2005.00401080

-------------------------------------------------------------------------------------------

来到 ---------去除段点-------单步往下走

7C957826     3B45 F8         cmp eax,dword ptr ss:[ebp-8]
7C957829     72 09           jb short ntdll.7C957834
7C95782B     3B45 F4         cmp eax,dword ptr ss:[ebp-C]
7C95782E   ^ 0F82 F731FFFF   jb ntdll.7C94AA2B
7C957834     50              push eax
7C957835     E8 67000000     call ntdll.7C9578A1
7C95783A     84C0            test al,al
7C95783C   ^ 0F84 E931FFFF   je ntdll.7C94AA2B
7C957842     F605 5AC3997C 8>test byte ptr ds:[7C99C35A],80
7C957849     0F85 20720100   jnz ntdll.7C96EA6F                        --------来到这里....我们跟随
7C95784F     FF73 04         push dword ptr ds:[ebx+4]
7C957852     8D45 EC         lea eax,dword ptr ss:[ebp-14]

------------------------------------------------------------------------------

来到这里

7C96EA6F     6A 10           push 10
7C96EA71     53              push ebx
7C96EA72     6A 00           push 0
7C96EA74     FF75 0C         push dword ptr ss:[ebp+C]
7C96EA77     56              push esi
7C96EA78     E8 136B0100     call ntdll.7C985590
7C96EA7D     8945 F0         mov dword ptr ss:[ebp-10],eax
7C96EA80   ^ E9 CA8DFEFF     jmp ntdll.7C95784F
7C96EA85     57              push edi                                         -------------直接来到这里..右建--断点--运行到此处
7C96EA86     FF75 F0         push dword ptr ss:[ebp-10]

---------------------------------------------------------------------------------

来到

7C957852     8D45 EC         lea eax,dword ptr ss:[ebp-14]
7C957855     50              push eax
7C957856     FF75 0C         push dword ptr ss:[ebp+C]
7C957859     53              push ebx
7C95785A     56              push esi
7C95785B     E8 F3BEFCFF     call ntdll.7C923753
7C957860     F605 5AC3997C 8>test byte ptr ds:[7C99C35A],80
7C957867     8BF8            mov edi,eax

------------------------------------------------------------------------------------

直接单步往走~直达oep
PYG19周年生日快乐!
回复

使用道具 举报

scgycxzzc

该用户从未签到
发表于 2008-3-4 16:32:18 | 显示全部楼层
谢谢分享/:014 /:014
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表