吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 23511|回复: 126
上一主题 下一主题
收起左侧

[第二课] 【交作业贴】吾爱破解培训第二课交作业专帖

 关闭 [复制链接]
跳转到指定楼层
楼主
Kido 发表于 2015-7-18 22:01 回帖奖励
前提介绍:
《吾爱破解培训第二课:实战去广告、弹窗及主页锁定》 讲师:Kido
http://www.52pojie.cn/thread-384195-1-1.html
(出处: 吾爱破解论坛)


回复内容包括解决问题步骤,最后的成品可以上传网盘贴地址,节省论坛空间就不要上传到论坛了。

作业截至到2015年7月25号00:00前提交算数,没有加报名群的同学也可以提交,后期会通过作业的提交情况,来淘汰没有交作业的,让交作业的新人加入。


对于作业的解答我已经更新到上面培训贴中,作业遇到问题的可以参考一下。

帖子我设置只有我可见,等一周后取消,切记不要回复和作业无关内容,否则会被扣分,前50个名交作业的同学有奖励。

免费评分

参与人数 7热心值 +7 收起 理由
凌云9 + 1 谢谢@Thanks!
1364847132 + 1 热心回复!
六道仙人 + 1 这个是什么作业啊
skywolf + 1 谢谢@Thanks!
Cizel + 1 我还是做好了再发,怎么没设置隐藏
神枪泡泡丶 + 1 看着8CB 就是不敢拿 2楼那小子 真会找理由0.
萋小磊 + 1 看着8CB 就是不敢拿

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
niuniu919 发表于 2015-7-19 07:20

回帖奖励 +8 CB吾爱币

本帖最后由 niuniu919 于 2015-7-19 17:11 编辑

写作业用的时间不长,调试工具费了好长时间,把od都给调死了。

习惯性查壳
esp定律脱壳过程略。。。


运行程序看一下,记录下相关提示。



根据弹出的网页,用c32搜索填充成00


填充的时候把另一个小窗口的网页也改了,多余的一步


接着把这个窗口干掉


再进od看看有什么


接着把主页锁定的ren一下。


最后找dialogboxparamw函数,把右下角弹窗ren掉。
最费时间的就是改这个运行框,其实直接输入这个函数名也行,只是当初没有注意大小写,所以无法识别。












修改后保存。

完美运行。


作业成品:http://pan.baidu.com/s/1o6Ic1fk

四点半就起来写作业了,必做的作业完成了,跑步去,有时间再看看选修作业。早安52,早安H大、早安kido大大。。。


附加作业采用rest和c32修改填充下面的广告链接,右侧的按钮用rest修改和移动。主页锁定用od搜索后jmp跳过去。






免费评分

参与人数 2热心值 +2 收起 理由
LadyGaga + 1 热心回复!
zhaozhonghua + 1 谢谢@Thanks!

查看全部评分

推荐
小人物大智慧 发表于 2015-7-19 10:14

回帖奖励 +8 CB吾爱币

本帖最后由 小人物大智慧 于 2015-7-19 10:15 编辑

UPX脱壳 脱壳机伺候着

试运行 发现程序会创建三个线程 有个内置广告窗口
1,内置广告窗口就用师傅教程里说到的Restorator 将内置广告窗口大小设置为0 可视取消勾选
2,bp CreateThread
F9 断下后 栈回溯
这段应该是对话框的初始化函数
00402C50  /.  55            push ebp
00402C51  |.  8BEC          mov ebp,esp
00402C53  |.  83EC 14       sub esp,0x14
00402C56  |.  894D EC       mov [local.5],ecx
00402C59  |.  8B4D EC       mov ecx,[local.5]
00402C5C  |.  E8 40D20000   call dumped1_.0040FEA1
00402C61  |.  6A 01         push 0x1                                 ; /Arg2 = 00000001
00402C63  |.  8B45 EC       mov eax,[local.5]                        ; |
00402C66  |.  8B88 2C010000 mov ecx,dword ptr ds:[eax+0x12C]         ; |
00402C6C  |.  51            push ecx                                 ; |Arg1
00402C6D  |.  8B4D EC       mov ecx,[local.5]                        ; |
00402C70  |.  E8 0B030000   call dumped1_.00402F80                   ; \dumped1_.00402F80
00402C75  |.  6A 00         push 0x0                                 ; /Arg2 = 00000000
00402C77  |.  8B55 EC       mov edx,[local.5]                        ; |
00402C7A  |.  8B82 2C010000 mov eax,dword ptr ds:[edx+0x12C]         ; |
00402C80  |.  50            push eax                                 ; |Arg1
00402C81  |.  8B4D EC       mov ecx,[local.5]                        ; |
00402C84  |.  E8 F7020000   call dumped1_.00402F80                   ; \dumped1_.00402F80
00402C89  |.  8D4D F0       lea ecx,[local.4]
00402C8C  |.  51            push ecx                                 ; /Arg5
00402C8D  |.  8D55 F0       lea edx,[local.4]                        ; |
00402C90  |.  52            push edx                                 ; |Arg4
00402C91  |.  8D45 F0       lea eax,[local.4]                        ; |
00402C94  |.  50            push eax                                 ; |Arg3
00402C95  |.  8D4D F0       lea ecx,[local.4]                        ; |
00402C98  |.  51            push ecx                                 ; |Arg2
00402C99  |.  68 B81A5500   push dumped1_.00551AB8                   ; |Arg1 = 00551AB8
00402C9E  |.  8B4D EC       mov ecx,[local.5]                        ; |
00402CA1  |.  81C1 B8000000 add ecx,0xB8                             ; |
00402CA7  |.  E8 54F7FFFF   call dumped1_.00402400                   ; \dumped1_.00402400
00402CAC  |.  E8 8FF8FFFF   call dumped1_.00402540
00402CB1  |.  E8 FAF9FFFF   call dumped1_.004026B0
00402CB6  |.  6A 00         push 0x0                                 ; /pThreadId = NULL
00402CB8  |.  6A 00         push 0x0                                 ; |CreationFlags = 0
00402CBA  |.  6A 00         push 0x0                                 ; |pThreadParm = NULL
00402CBC  |.  68 F02B4000   push dumped1_.00402BF0                   ; |ThreadFunction = dumped1_.00402BF0
00402CC1  |.  6A 00         push 0x0                                 ; |StackSize = 0x0
00402CC3  |.  6A 00         push 0x0                                 ; |pSecurity = NULL
00402CC5  |.  FF15 2C745200 call dword ptr ds:[<&KERNEL32.CreateThre>; \CreateThread
00402CCB  |.  B8 01000000   mov eax,0x1
00402CD0  |.  8BE5          mov esp,ebp
00402CD2  |.  5D            pop ebp
00402CD3  \.  C3            retn


简单分析:
00402CAC  |.  E8 8FF8FFFF   call dumped1_.00402540 功能:进程提权函数
00402CB1  |.  E8 FAF9FFFF   call dumped1_.004026B0 功能:锁定主页 操作注册表
00402CBC  |.  68 F02B4000   push dumped1_.00402BF0  线程入口 功能:创建广告窗口 创建两个线程用来运行IE弹广告

修改方法:
00402CB1    nop
00402CB2    nop
00402CB3    nop
00402CB4    nop
00402CB5    nop
00402CB8    push 0x4

保存即可

http://pan.baidu.com/s/1nty1B0P 密码: qwj8





3#
蚯蚓翔龙 发表于 2015-7-18 23:30

回帖奖励 +8 CB吾爱币

本帖最后由 蚯蚓翔龙 于 2015-7-19 21:55 编辑



1.
查壳是UPX,话说论坛的完美脱壳脚本还是用不上。。。
手动脱,修复下资源,我人菜只能先搜索字符串了,
搜素到下面文本



可以从中定位到不少关键点

Bp WinExec,ShellExecute


通通nop掉,bp CreateThead拦截创建线程


VC8生成的玩意很容易找到下方地址,F7进去



然后该nop的nop,retn的retn










这个通过将一个硬编码好的字符串跟“52pojie”进行循环Xor 得出网址,我们BP WinExec就可以定位到了(其实之前retn掉call resolve.004026B0 即可一堆东西都能去掉了。。。)


    for(i=0; i < Size;i++)
        Array = Array ^ Key[i %7 ];
小小XOR算法


2.Password H大说的课外作业

程序无壳,
首先搜索字符串吧,定位到


广告立马可以看出来了,搜索下定位了


随便NOP掉CALL就行了,测试软件能正常运行,AD去除了


剩下就靠资源编辑器的能力了,菜单去掉,按钮文字改下










主程序和ViewPass.exe
界面上基本弄好了


也是搜索字符串,NOP掉上述广告所在地方代码
把访问主页也改了,作者别怪我。。。



去除了部分菜单项,木有了


沙发路过…



http://pan.baidu.com/s/1c0m8MqO

Doc 文档。。。里面有全部的图片




2.png (46.09 KB, 下载次数: 1)

2.png
4#
kingdjh 发表于 2015-7-19 00:40

回帖奖励 +8 CB吾爱币

对于必做,查看一下字符串,然后根据例子,知道52pojie是一个关键字,找到函数头,直接retn,所有广告都没了...然后再修改下资源,把那个框去掉
对于选做,查看一下字符串,然后在京东什么的地方观察,发现基本所有的广告都在这个函数体内,分析了下,直接把某个ShowWindow的state永久push 0,能实现去掉下面的广告,然后在修改主页的地方有个跳转,直接jmp掉就好了

链接:http://pan.baidu.com/s/1ntEGBl3 密码:hmas
5#
dagangwood 发表于 2015-7-19 01:15

回帖奖励 +8 CB吾爱币

本帖最后由 dagangwood 于 2015-7-19 02:15 编辑

必做题:参考教学视频, 修改资源+retn大法。



附加题:
【1】修改资源,删除底部文本款和多余的菜单选项。
【2】使用jmp无条件跳转屏蔽掉广告弹窗。








6#
你肥皂掉了 发表于 2015-7-19 01:23

回帖奖励 +8 CB吾爱币

本帖最后由 你肥皂掉了 于 2015-7-19 12:16 编辑


脱壳,不知道什么壳,也许我用的是PEID,直接ESP定律,能跑! 再查区段变CODE 脱壳完毕
1.载入C32直接查找52pojie字符串,发现4-5个,可能和老大教程里面说的有点差别,不管三七二十一全部填充0,之后测试能跑o(∩_∩)o ,此处直接把所以的弹窗网页和锁定注册表去掉了,可能我比较懒...OD技术性的都没学到.........师傅求原谅
2.中间的内置弹窗直接用的RES HACKER 修改的,方法和师傅的一样,软件不同罢了
.3右下角的弹窗,直接OD搜到字符串,然后跟进,找到断首,RETN大法完毕


链接: http://pan.baidu.com/s/1pJ3NmC7 密码: 4f9v
请问老大在教程中,你们所在的官方群群号是多少? 想加入 谢谢老大








7#
是是非非 发表于 2015-7-19 03:28

回帖奖励 +8 CB吾爱币

对于正式作业,由课程所讲的API入手查找,将弹窗、弹网页一并JMP/RET,感觉有些代码在里面却没起作用,最后的嵌入式的网页,用CreateWindowExA/W可以成功修改出来,但是不知道怎么保存,最后还是用了资源修改工具

链接: http://pan.baidu.com/s/1o6vHG0q 密码: qa9x

对于附加的小作业,用资源修改工具基本可以搞定
8#
bzzxabc 发表于 2015-7-19 07:20

回帖奖励 +8 CB吾爱币

本帖最后由 bzzxabc 于 2015-7-19 23:23 编辑

吾爱破解培训第二课作业:
1.首先对吾爱破解培训第二课作业进行脱壳(UPX)不过脱壳后,OD载入还是提示有压缩代码,但载入后是OEP不影响破解。
2.OD载入查找字符串,找到 SOFTWARE\microsoft\Internet Explorer\Mainretn 双击向上找到004026B0    push将push改成  retn.(锁定主页就去掉了)3.回到字符串窗口,双击 地址=0040282F 反汇编=push 吾爱破解.00551A18 文本字符串=我就是广告\r\n来把我干掉啊\r\n加油!,然后上向到004027E0    55    push ebp将此处改成retn (去掉右下窗口)
4.下DialogBoxParamW断点,断下后点击堆栈回车到程序领空向上到程序段首h将push改成  retn.(去掉左上角白框)
5.下WinExec断点,断下后点击堆栈回车到程序领空向上到程序段首h将push改成  retn.(去掉 http://www.52pojie.cn/forum-5-1.htmlhttp://www.52pojie.cn/forum-5-1.html
6.下CreateProcessA/W断点,断下后点击堆栈回车到程序领空向上到程序段首h将push改成  retn.(去掉http://www.52pojie.cn/forum-68-1.html
7.C32Asm用0填充 文本字符串=http://www.52pojie.cn/portal.php
8.用Restorator去掉窗口的属性可视。
9#
凌云9 发表于 2015-7-19 09:41

回帖奖励 +8 CB吾爱币

本帖最后由 凌云9 于 2015-7-21 18:31 编辑

004026B0:  C3  ret  看默认修改主页网址 搜索字符窜 52PoJie ,断首ret
004027E0:  C3  ret  弹窗广告  搜索 我就是广告 断首ret
去除内置网页参考的视频

链接:http://pan.baidu.com/s/1mgvfNNM 密码:q4gq


和上边方法大同小异,用资源修改器发现更简单链接:http://pan.baidu.com/s/1gd5z7zH 密码:e7f5

10#
wen704 发表于 2015-7-19 10:06

回帖奖励 +8 CB吾爱币

本帖最后由 wen704 于 2015-7-19 11:05 编辑

管理,我已经修改了作业,把password也加进来了~~~全都改好了~~~

这个是作业的那个单文件的...图片就没截了..全都是文字了...之前交作业还把文字都丢图片了..有点累.管理大大看字可能要麻烦点了...

(就单文件的这个没图..剩下的都有~~)

1.脱壳  保存

2.使用WinHex搜索Ascii和Unicode所有有关52pojie.cn的.一开始有2个exeplore的..全都用十六进制00填充..其他的先不管  保存

3.拖进OD..ctrl + g 到 ShellExecuteA   ShellExecuteW   WinExec  CreateProcessA  CreateProcessW  全都F2

4.运行.等待暂停.停住后在堆栈窗口里的CALL回车即可返回回去.根据堆栈窗口的参数.在反汇编窗口CALL往上数PUSH个数.然后全部nop填充  复制到文件

5.在反汇编窗口右击中文引擎搜索.智能搜索.跳到最上面.看到一个 Internet Explorer\Main 在这上面回车

6.回车后往上翻,找到push ebp..直接retn替换  还是复制到文件

7.还是在智能搜索.看到一个  我就是广告....回车过去...往上翻.找到push ebp,retn替换掉...(这部可能多余的,那个窗口还是在)

8.反汇编窗口ctrl + g 到 DialogBoxParamA  DialogBoxParamA  全都F2

9.运行..等待暂停.暂停后看到push ebp...直接retn  再复制到文件

10.使用Restorator打开文件.拖进文件.在对话框里第一个102...然后按下F6编辑模式...选择中间的内置浏览器..可视去掉
(可能是一开WinHex填充过.内置里访问的网页直接没了...只是这个浏览器一直显示无法访问网页.可视去掉后也就不在后台访问一次网页了)  
保存

至此..这个作业没广告了.....

另一个password..里面有2个exe...先修改一个

查壳 -> 无壳...打开后可以明显看到一个他们的官网并且点击会过去官网,用WinHex编辑一下

搜索ASCII...可以直接00填充...Unicode搜索到不能替换,,,,替换了就不能运行了...

意外发现上面有设置主页的...2345推广....等下用OD来看

既然那个按钮网页去掉了...顺便按钮也搞掉...可视去掉就OK了

OD载入..智能搜索...基本上也就一个主页的问题然后就没有其他广告和明显的弹窗了...这里跟随到数据窗口

直接00填充然后复制到文件...=_=||早知道刚才就直接用WinHex改了

至此...Password里的一个exe改完了

上面这个只是一个附带的程序,下面是主程序了...经过软件的运行和观察...

这个软件有6个网页...3个是下载网页....1个是主页(官网)...1个是亚马逊推广   还有1个是2345推广

直接用WinHex全给填充掉...

目前没发现弹窗

然后OD载入.把2345推广的那个主页设置给retn弄掉了.....

再通过Restorator编辑了一下...最终效果...我就没过程图啦~希望大大原谅我的偷懒



OK...作业全部完成了.下载的时候没看到例子的下载地址....还想练练手的...
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 11:26

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表