冥界3大法王 发表于 2022-11-27 11:53

网页证书过期给chrome.dll动手术【治愈您的时钟太快了】

本帖最后由 冥界3大法王 于 2022-11-27 21:33 编辑

用百度那饭桶搜索出一网页.

点击打开就看到了这!

再点高级,就会看到证书的过期时间(心里记录一下),到系统时钟里修改成那天,网页就打开了。
也就是说什么时钟快了,完全在扯犊子么,只是网页的制作者的证书又该续费了。。。
所以咱们就用x64dbg来解决这个问题吧。
不然改来改去,多麻烦啊。。。
百度净给蒙爹的答案。
还是法王姥爷教授大家如何手术治愈吧。
{:301_997:}
不喜欢时间改来改去的,所以说楼主痛的,你的才痛呢~~
https://static.52pojie.cn/static/image/hrline/2.gif
费话说完,开始动手:
用x64dbg直接打开,建议到虚拟里,重新拷贝一个chrome复本过去,并删除掉配置
不然启动一堆网页一堆进程,怎么调试的明白?
直接F9让程序运行起来,此时chrome.dll 才会被加载
Alt+E模块窗口中双击 chrome.dll并搜索字符串
第1次是 clock
第2次是 Certificat



接下来,去网页中打开那个链接https://www.delphitop.com/html/kongjian/5519.html吧。
在上面的证书相关的断点列表中,会被断到多处。
上来第一次调试先断着看,因为并不知接下来出现啥?

接下来,顺势往下走,走到上面的地方,该是可疑的地方不远了。
这里有些用了,记录下来
000007FEE578D0C | 75 2F               | jne chrome.7FEE578D0FE            |
000007FEE578D0C | C74424 20 01000000    | mov dword ptr ss:,1         |
000007FEE578D0D | 48:8D0D FA6F7703      | lea rcx,qword ptr ds:| 000007FEE8F040D8:"interstitial.ssl.clockstate.network3"
000007FEE578D0D | BA 01000000         | mov edx,1                           |
000007FEE578D0E | 41:B8 09000000      | mov r8d,9                           | 9:'\t'
000007FEE578D0E | 41:B9 0A000000      | mov r9d,A                           | A:'\n'
000007FEE578D0E | E8 1C4C0FFC         | call chrome.7FEE1881D10             |
000007FEE578D0F | 48:89C1               | mov rcx,rax                         |
000007FEE578D0F | 48:8905 AA411404      | mov qword ptr ds:,rax|
000007FEE578D0F | 48:8B01               | mov rax,qword ptr ds:          |
000007FEE578D10 | 89FA                  | mov edx,edi                         |
000007FEE578D10 | FF50 28               | call qword ptr ds:          |
000007FEE578D10 | 48:8B0D A3411404      | mov rcx,qword ptr ds:|
000007FEE578D10 | 48:85C9               | test rcx,rcx                        |
000007FEE578D11 | 75 2F               | jne chrome.7FEE578D141            |
000007FEE578D11 | C74424 20 01000000    | mov dword ptr ss:,1         |
000007FEE578D11 | 48:8D0D DC6F7703      | lea rcx,qword ptr ds:| 000007FEE8F040FD:"interstitial.ssl.clockstate.build_time"

向F8 单步向下走


上面有个bad_clock
000007FEE4B2AAB | 48:8BBC24 F8000000    | mov rdi,qword ptr ss:       | :&"https://www.delphitop.com/html/kongjian/5519.html"
000007FEE4B2AAB | 48:8B05 0380C304      | mov rax,qword ptr ds:|
000007FEE4B2AAC | 48:31E0               | xor rax,rsp                         |
000007FEE4B2AAC | 48:898424 80000000    | mov qword ptr ss:,rax       |
000007FEE4B2AAD | 48:8D15 B0131404      | lea rdx,qword ptr ds:| rdx:"bad_clock", 000007FEE8C6BE87:"bad_clock"
000007FEE4B2AAD | 48:8D6C24 50          | lea rbp,qword ptr ss:       |
000007FEE4B2AAD | 48:89E9               | mov rcx,rbp                         |
000007FEE4B2AAD | E8 567AD3FC         | call chrome.7FEE186253A             |
000007FEE4B2AAE | C64424 20 00          | mov byte ptr ss:,0          |
000007FEE4B2AAE | 4C:8D6424 68          | lea r12,qword ptr ss:       |
000007FEE4B2AAE | 4C:89E1               | mov rcx,r12                         |
000007FEE4B2AAF | 48:89DA               | mov rdx,rbx                         | rdx:"bad_clock"
000007FEE4B2AAF | 49:89F8               | mov r8,rdi                        | rdi:&"https://www.delphitop.com/html/kongjian/5519.html"


接下来,点网页中的调用系统时钟时,调到下面的地方 :
000007FEE482E7D | 48:8D05 9BD74304      | lea rax,qword ptr ds:| 000007FEE8C6BF74:"SSLInterstitial.Advanced"
000007FEE482E7D | EB 7B               | jmp chrome.7FEE482E856            |
000007FEE482E7D | 41:0FB687 97000000    | movzx eax,byte ptr ds:      |
000007FEE482E7E | 84C0                  | test al,al                        |
000007FEE482E7E | 79 07               | jns chrome.7FEE482E7EE            |
000007FEE482E7E | 49:8B87 88000000      | mov rax,qword ptr ds:       |
000007FEE482E7E | 48:83F8 09            | cmp rax,9                           | 9:'\t'
000007FEE482E7F | 75 6F               | jne chrome.7FEE482E863            |
000007FEE482E7F | 48:C74424 20 09000000 | mov qword ptr ss:,9         | 9:'\t'
000007FEE482E7F | 4C:8D0D 83D64304      | lea r9,qword ptr ds:   | r9:"bad_clock", 000007FEE8C6BE87:"bad_clock"

继续先记录。。。

系统时钟修改完之后,再次打开网页,看这次又是断到了何处?

这次断到了这里。

000007FEE578D11 | 75 2F               | jne chrome.7FEE578D141            | yes
000007FEE578D11 | C74424 20 01000000    | mov dword ptr ss:,1         |
000007FEE578D11 | 48:8D0D DC6F7703      | lea rcx,qword ptr ds:| 000007FEE8F040FD:"interstitial.ssl.clockstate.build_time"
000007FEE578D12 | BA 01000000         | mov edx,1                           |
000007FEE578D12 | 41:B8 04000000      | mov r8d,4                           |
000007FEE578D12 | 41:B9 05000000      | mov r9d,5                           | r9d:&"PE"
000007FEE578D13 | E8 D94B0FFC         | call chrome.7FEE1881D10             |
000007FEE578D13 | 48:89C1               | mov rcx,rax                         |
000007FEE578D13 | 48:8905 6F411404      | mov qword ptr ds:,rax|
000007FEE578D14 | 48:8B01               | mov rax,qword ptr ds:          |
000007FEE578D14 | 89F2                  | mov edx,esi                         |
000007FEE578D14 | FF50 28               | call qword ptr ds:          |
000007FEE578D14 | FFCF                  | dec edi                           |
000007FEE578D14 | 83FF 08               | cmp edi,8                           |
000007FEE578D14 | 77 17               | ja chrome.7FEE578D167               | keyi 1)修改这里成功了
ja==>改成jmp


改完之后,出来了这,还需要点一次【高级、继续前往】。。。
也就是说大体的思路是正确的,细节还需要再分析下,或许可以更进一步。
那我们接着修改。。。

interstitial.ssl_nonoverridable.is_recurrent_error.ct_error
CERT_DATE_INVALID

最后放出遇到此问题的作弊码:回复后可见。
懒鬼和不会逆向的朋友可以自己尝试。{:301_997:}
**** Hidden Message *****

有理想的程序员 发表于 2022-11-30 22:48

感谢分享                                                                                       

bachelor66 发表于 2022-11-28 08:35

还是法王厉害啊                                                         

caitounb 发表于 2022-11-27 11:57

好牛逼,学习一下

52new 发表于 2022-11-27 12:19

解决大问题了

delicioussky 发表于 2022-11-27 12:23

学习了,感谢楼主分享{:1_893:}

mxx12 发表于 2022-11-27 12:42

感谢楼主的帮助

arighteye 发表于 2022-11-27 13:21

谢谢分享,点赞保存

侃遍天下无二人 发表于 2022-11-27 13:59

太棒了,改完以后给你发个钓鱼网站{:301_986:}

eer123 发表于 2022-11-27 14:09

【高级、继续前往】去除了吗?达到直接访问目标网址的目的了吗?

shinco20 发表于 2022-11-27 14:22

这个厉害了

wangxingbo 发表于 2022-11-27 14:23

学习了,感谢楼主分享
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 网页证书过期给chrome.dll动手术【治愈您的时钟太快了】