|
本帖最后由 龙之子 于 2009-10-24 02:44 编辑
由于最近碰了很多类似软件,不知道其中哪个打开的网页有病毒,所以暂时不把我机器上的exe上传,也就是说,这个文章里的所有工具都请自己去网上搜索,成品请自己制作。。。
要用到的工具是Peid(可选),Ollydbg+StrongOD,Imprec,Hex Workshop 6(建议用汉化的)
去软件官网下载,解压后得到一个目录,找到主程序QQ伴侣.exe,用Peid查看是ExeStealth
很弱的壳,OD装备上StrongOD后加载,看到这里:
0050D060 > /EB 65 JMP SHORT QQ伴侣.0050D0C7 //在这里按F8跳转
0050D062 |45 INC EBP
0050D063 |78 65 JS SHORT QQ伴侣.0050D0CA
0050D065 |53 PUSH EBX
0050D066 |74 65 JE SHORT QQ伴侣.0050D0CD
0050D068 |61 POPA
0050D0C7 60 PUSHAD //跳到这里,再按一次F8
0050D0C8 E8 00000000 CALL QQ伴侣.0050D0CD //在CommandLine下断hr esp,再按F9
0050D0CD 5D POP EBP
0050D0CE 81ED 40284000 SUB EBP,QQ伴侣.00402840
0050D0D4 B9 16000000 MOV ECX,16
0050D0D9 83C1 04 ADD ECX,4
0050D0DC 83C1 01 ADD ECX,1
0050D0DF EB 05 JMP SHORT QQ伴侣.0050D0E6
0050D0E1 - EB FE JMP SHORT QQ伴侣.0050D0E1
0050D844 50 PUSH EAX //QQ伴侣.0050D7F3,停在这里,
0050D845 33C0 XOR EAX,EAX
0050D847 64:FF30 PUSH DWORD PTR FS:[EAX]
0050D84A 64:8920 MOV DWORD PTR FS:[EAX],ESP
看到右下角窗口,显示的地址是0050D7F3
Ctrl+G,输入0050D7F3,按F2,再F9,程序停在这里,删除断点:
0050D822 5F POP EDI //选中这句命令,按F4
执行完后显示EDI=0050A001,我们Ctrl+G过去下断点,然后F9
0050A001 60 PUSHAD //停在这里,到了第二层壳
0050A002 E8 03000000 CALL QQ伴侣.0050A00A
0050A007 - E9 EB045D45 JMP 45ADA4F7
0050A00C 55 PUSH EBP
0050A00D C3 RETN
执行到0050A001后,OD脱壳,IMPREC修复,再次用Peid,发现是Aspack,再次用OD载入:
0050A001 60 PUSHAD //停在这里,按F8
0050A002 E8 03000000 CALL QQ伴侣.0050A00A //执行到这里,下断hr esp,然后F9
0050A007 - E9 EB045D45 JMP 45ADA4F7
0050A00C 55 PUSH EBP
0050A00D C3 RETN
来到这里:
0050A3B0 /75 08 JNZ SHORT QQ伴侣.0050A3BA //停在这里,F8下去
0050A3B2 |B8 01000000 MOV EAX,1
0050A3B7 |C2 0C00 RETN 0C
0050A3BA \68 64134000 PUSH QQ伴侣.00401364
0050A3BF C3 RETN //这句过去就到程序领空了
00401364 > $ 68 441A4000 PUSH C_.00401A44 //停在这个地址,脱壳
00401369 . E8 F0FFFFFF CALL <JMP.&msvbvm60.ThunRTMain>
0040136E . 0000 ADD BYTE PTR DS:[EAX],AL
00401370 . 40 INC EAX
00401371 . 0000 ADD BYTE PTR DS:[EAX],AL
00401373 . 0030 ADD BYTE PTR DS:[EAX],DH
00401375 . 0000 ADD BYTE PTR DS:[EAX],AL
00401377 . 0038 ADD BYTE PTR DS:[EAX],BH
00401379 . 0000 ADD BYTE PTR DS:[EAX],AL
0040137B . 0000 ADD BYTE PTR DS:[EAX],AL
脱壳完毕用Imprec修复(可以直接进到程序领空,一次脱壳),Peid查一下,是VB,双击跑不起来,有自检。
VB自检一般都是比较自身大小,使用函数rtcFileLen,因此Ctrl+B,输入20 12 40,确定后来到这里:
00403A60 \20124000 DD <JMP.&msvbvm60.rtcFileLen>
在下面找个不用的地方,跳过去,比如00476F00,把这两句话改成这样
00403A60 /006F4700 DD 00476F00 //跳到00476F00
00476F00 . C3 RETN //直接回去
然后,程序就可以跑起来了,去广告比较简单却繁琐,Hexworkshop直接搜索字符串2523或者uu23去改(注意有些可能和升级有关),其中启动广告我一直没出来,不知道为什么。
没有版权,转载自龙族论坛。 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?注册
x
|