【交作业贴】吾爱破解培训第二课交作业专帖
前提介绍:
《吾爱破解培训第二课:实战去广告、弹窗及主页锁定》 讲师:Kido
http://www.52pojie.cn/thread-384195-1-1.html
(出处: 吾爱破解论坛)
回复内容包括解决问题步骤,最后的成品可以上传网盘贴地址,节省论坛空间就不要上传到论坛了。
作业截至到2015年7月25号00:00前提交算数,没有加报名群的同学也可以提交,后期会通过作业的提交情况,来淘汰没有交作业的,让交作业的新人加入。
对于作业的解答我已经更新到上面培训贴中,作业遇到问题的可以参考一下。
帖子我设置只有我可见,等一周后取消,切记不要回复和作业无关内容,否则会被扣分,前50个名交作业的同学有奖励。
本帖最后由 niuniu919 于 2015-7-19 17:11 编辑
写作业用的时间不长,调试工具费了好长时间,把od都给调死了。
习惯性查壳
esp定律脱壳过程略。。。
运行程序看一下,记录下相关提示。
根据弹出的网页,用c32搜索填充成00
填充的时候把另一个小窗口的网页也改了,多余的一步
接着把这个窗口干掉
再进od看看有什么
接着把主页锁定的ren一下。
最后找dialogboxparamw函数,把右下角弹窗ren掉。
最费时间的就是改这个运行框,其实直接输入这个函数名也行,只是当初没有注意大小写,所以无法识别。
修改后保存。
完美运行。
作业成品:http://pan.baidu.com/s/1o6Ic1fk
四点半就起来写作业了,必做的作业完成了,跑步去,有时间再看看选修作业。早安52,早安H大、早安kido大大。。。
附加作业采用rest和c32修改填充下面的广告链接,右侧的按钮用rest修改和移动。主页锁定用od搜索后jmp跳过去。
本帖最后由 小人物大智慧 于 2015-7-19 10:15 编辑
UPX脱壳 脱壳机伺候着
试运行 发现程序会创建三个线程 有个内置广告窗口
1,内置广告窗口就用师傅教程里说到的Restorator 将内置广告窗口大小设置为0 可视取消勾选
2,bp CreateThread
F9 断下后 栈回溯
这段应该是对话框的初始化函数
00402C50/.55 push ebp
00402C51|.8BEC mov ebp,esp
00402C53|.83EC 14 sub esp,0x14
00402C56|.894D EC mov ,ecx
00402C59|.8B4D EC mov ecx,
00402C5C|.E8 40D20000 call dumped1_.0040FEA1
00402C61|.6A 01 push 0x1 ; /Arg2 = 00000001
00402C63|.8B45 EC mov eax, ; |
00402C66|.8B88 2C010000 mov ecx,dword ptr ds: ; |
00402C6C|.51 push ecx ; |Arg1
00402C6D|.8B4D EC mov ecx, ; |
00402C70|.E8 0B030000 call dumped1_.00402F80 ; \dumped1_.00402F80
00402C75|.6A 00 push 0x0 ; /Arg2 = 00000000
00402C77|.8B55 EC mov edx, ; |
00402C7A|.8B82 2C010000 mov eax,dword ptr ds: ; |
00402C80|.50 push eax ; |Arg1
00402C81|.8B4D EC mov ecx, ; |
00402C84|.E8 F7020000 call dumped1_.00402F80 ; \dumped1_.00402F80
00402C89|.8D4D F0 lea ecx,
00402C8C|.51 push ecx ; /Arg5
00402C8D|.8D55 F0 lea edx, ; |
00402C90|.52 push edx ; |Arg4
00402C91|.8D45 F0 lea eax, ; |
00402C94|.50 push eax ; |Arg3
00402C95|.8D4D F0 lea ecx, ; |
00402C98|.51 push ecx ; |Arg2
00402C99|.68 B81A5500 push dumped1_.00551AB8 ; |Arg1 = 00551AB8
00402C9E|.8B4D EC mov ecx, ; |
00402CA1|.81C1 B8000000 add ecx,0xB8 ; |
00402CA7|.E8 54F7FFFF call dumped1_.00402400 ; \dumped1_.00402400
00402CAC|.E8 8FF8FFFF call dumped1_.00402540
00402CB1|.E8 FAF9FFFF call dumped1_.004026B0
00402CB6|.6A 00 push 0x0 ; /pThreadId = NULL
00402CB8|.6A 00 push 0x0 ; |CreationFlags = 0
00402CBA|.6A 00 push 0x0 ; |pThreadParm = NULL
00402CBC|.68 F02B4000 push dumped1_.00402BF0 ; |ThreadFunction = dumped1_.00402BF0
00402CC1|.6A 00 push 0x0 ; |StackSize = 0x0
00402CC3|.6A 00 push 0x0 ; |pSecurity = NULL
00402CC5|.FF15 2C745200 call dword ptr ds:[<&KERNEL32.CreateThre>; \CreateThread
00402CCB|.B8 01000000 mov eax,0x1
00402CD0|.8BE5 mov esp,ebp
00402CD2|.5D pop ebp
00402CD3\.C3 retn
简单分析:
00402CAC|.E8 8FF8FFFF call dumped1_.00402540 功能:进程提权函数
00402CB1|.E8 FAF9FFFF call dumped1_.004026B0 功能:锁定主页 操作注册表
00402CBC|.68 F02B4000 push dumped1_.00402BF0线程入口 功能:创建广告窗口 创建两个线程用来运行IE弹广告
修改方法:
00402CB1 nop
00402CB2 nop
00402CB3 nop
00402CB4 nop
00402CB5 nop
00402CB8 push 0x4
保存即可
http://pan.baidu.com/s/1nty1B0P 密码: qwj8
本帖最后由 蚯蚓翔龙 于 2015-7-19 21:55 编辑
1.
查壳是UPX,话说论坛的完美脱壳脚本还是用不上。。。
手动脱,修复下资源,我人菜只能先搜索字符串了,
搜素到下面文本
可以从中定位到不少关键点
Bp WinExec,ShellExecute
通通nop掉,bp CreateThead拦截创建线程
VC8生成的玩意很容易找到下方地址,F7进去
然后该nop的nop,retn的retn
这个通过将一个硬编码好的字符串跟“52pojie”进行循环Xor 得出网址,我们BP WinExec就可以定位到了(其实之前retn掉call resolve.004026B0 即可一堆东西都能去掉了。。。)
for(i=0; i < Size;i++)
Array = Array ^ Key;
小小XOR算法
2.Password H大说的课外作业
程序无壳,
首先搜索字符串吧,定位到
广告立马可以看出来了,搜索下定位了
随便NOP掉CALL就行了,测试软件能正常运行,AD去除了
剩下就靠资源编辑器的能力了,菜单去掉,按钮文字改下
主程序和ViewPass.exe
界面上基本弄好了
也是搜索字符串,NOP掉上述广告所在地方代码
把访问主页也改了,作者别怪我。。。
去除了部分菜单项,木有了
沙发路过…
http://pan.baidu.com/s/1c0m8MqO
Doc 文档。。。里面有全部的图片
对于必做,查看一下字符串,然后根据例子,知道52pojie是一个关键字,找到函数头,直接retn,所有广告都没了...然后再修改下资源,把那个框去掉
对于选做,查看一下字符串,然后在京东什么的地方观察,发现基本所有的广告都在这个函数体内,分析了下,直接把某个ShowWindow的state永久push 0,能实现去掉下面的广告,然后在修改主页的地方有个跳转,直接jmp掉就好了
链接:http://pan.baidu.com/s/1ntEGBl3 密码:hmas 本帖最后由 dagangwood 于 2015-7-19 02:15 编辑
必做题:参考教学视频, 修改资源+retn大法。
附加题:
【1】修改资源,删除底部文本款和多余的菜单选项。
【2】使用jmp无条件跳转屏蔽掉广告弹窗。
本帖最后由 你肥皂掉了 于 2015-7-19 12:16 编辑
脱壳,不知道什么壳,也许我用的是PEID,直接ESP定律,能跑! 再查区段变CODE 脱壳完毕
1.载入C32直接查找52pojie字符串,发现4-5个,可能和老大教程里面说的有点差别,不管三七二十一全部填充0,之后测试能跑o(∩_∩)o ,此处直接把所以的弹窗网页和锁定注册表去掉了,可能我比较懒...OD技术性的都没学到.........师傅求原谅{:1_907:}
2.中间的内置弹窗直接用的RES HACKER 修改的,方法和师傅的一样,软件不同罢了
.3右下角的弹窗,直接OD搜到字符串,然后跟进,找到断首,RETN大法完毕
链接: http://pan.baidu.com/s/1pJ3NmC7 密码: 4f9v
请问老大在教程中,你们所在的官方群群号是多少? 想加入 谢谢老大
对于正式作业,由课程所讲的API入手查找,将弹窗、弹网页一并JMP/RET,感觉有些代码在里面却没起作用,最后的嵌入式的网页,用CreateWindowExA/W可以成功修改出来,但是不知道怎么保存,最后还是用了资源修改工具
链接: http://pan.baidu.com/s/1o6vHG0q 密码: qa9x
对于附加的小作业,用资源修改工具基本可以搞定 本帖最后由 bzzxabc 于 2015-7-19 23:23 编辑
吾爱破解培训第二课作业:
1.首先对吾爱破解培训第二课作业进行脱壳(UPX)不过脱壳后,OD载入还是提示有压缩代码,但载入后是OEP不影响破解。
2.OD载入查找字符串,找到 SOFTWARE\microsoft\Internet Explorer\Mainretn 双击向上找到004026B0 push将push改成retn.(锁定主页就去掉了)3.回到字符串窗口,双击 地址=0040282F 反汇编=push 吾爱破解.00551A18 文本字符串=我就是广告\r\n来把我干掉啊\r\n加油!,然后上向到004027E0 55 push ebp将此处改成retn (去掉右下窗口)
4.下DialogBoxParamW断点,断下后点击堆栈回车到程序领空向上到程序段首h将push改成retn.(去掉左上角白框)
5.下WinExec断点,断下后点击堆栈回车到程序领空向上到程序段首h将push改成retn.(去掉 http://www.52pojie.cn/forum-5-1.html) http://www.52pojie.cn/forum-5-1.html
6.下CreateProcessA/W断点,断下后点击堆栈回车到程序领空向上到程序段首h将push改成retn.(去掉http://www.52pojie.cn/forum-68-1.html)
7.C32Asm用0填充 文本字符串=http://www.52pojie.cn/portal.php
8.用Restorator去掉窗口的属性可视。
本帖最后由 凌云9 于 2015-7-21 18:31 编辑
004026B0:C3ret看默认修改主页网址 搜索字符窜 52PoJie ,断首ret
004027E0:C3ret弹窗广告搜索 我就是广告 断首ret
去除内置网页参考的视频
链接:http://pan.baidu.com/s/1mgvfNNM 密码:q4gq
和上边方法大同小异,用资源修改器发现更简单链接:http://pan.baidu.com/s/1gd5z7zH 密码:e7f5
本帖最后由 wen704 于 2015-7-19 11:05 编辑
管理,我已经修改了作业,把password也加进来了~~~全都改好了~~~
这个是作业的那个单文件的...图片就没截了..全都是文字了...之前交作业还把文字都丢图片了..有点累.管理大大看字可能要麻烦点了...
(就单文件的这个没图..剩下的都有~~)
1.脱壳保存
2.使用WinHex搜索Ascii和Unicode所有有关52pojie.cn的.一开始有2个exeplore的..全都用十六进制00填充..其他的先不管保存
3.拖进OD..ctrl + g 到 ShellExecuteA ShellExecuteW WinExecCreateProcessACreateProcessW全都F2
4.运行.等待暂停.停住后在堆栈窗口里的CALL回车即可返回回去.根据堆栈窗口的参数.在反汇编窗口CALL往上数PUSH个数.然后全部nop填充复制到文件
5.在反汇编窗口右击中文引擎搜索.智能搜索.跳到最上面.看到一个 Internet Explorer\Main 在这上面回车
6.回车后往上翻,找到push ebp..直接retn替换还是复制到文件
7.还是在智能搜索.看到一个我就是广告....回车过去...往上翻.找到push ebp,retn替换掉...(这部可能多余的,那个窗口还是在)
8.反汇编窗口ctrl + g 到 DialogBoxParamADialogBoxParamA全都F2
9.运行..等待暂停.暂停后看到push ebp...直接retn再复制到文件
10.使用Restorator打开文件.拖进文件.在对话框里第一个102...然后按下F6编辑模式...选择中间的内置浏览器..可视去掉
(可能是一开WinHex填充过.内置里访问的网页直接没了...只是这个浏览器一直显示无法访问网页.可视去掉后也就不在后台访问一次网页了)
保存
至此..这个作业没广告了.....
另一个password..里面有2个exe...先修改一个
查壳 -> 无壳...打开后可以明显看到一个他们的官网并且点击会过去官网,用WinHex编辑一下
搜索ASCII...可以直接00填充...Unicode搜索到不能替换,,,,替换了就不能运行了...
意外发现上面有设置主页的...2345推广....等下用OD来看
既然那个按钮网页去掉了...顺便按钮也搞掉...可视去掉就OK了
OD载入..智能搜索...基本上也就一个主页的问题然后就没有其他广告和明显的弹窗了...这里跟随到数据窗口
直接00填充然后复制到文件...=_=||早知道刚才就直接用WinHex改了
至此...Password里的一个exe改完了
上面这个只是一个附带的程序,下面是主程序了...经过软件的运行和观察...
这个软件有6个网页...3个是下载网页....1个是主页(官网)...1个是亚马逊推广 还有1个是2345推广
直接用WinHex全给填充掉...
目前没发现弹窗
然后OD载入.把2345推广的那个主页设置给retn弄掉了.....
再通过Restorator编辑了一下...最终效果...我就没过程图啦~希望大大原谅我的偷懒
OK...作业全部完成了.下载的时候没看到例子的下载地址....还想练练手的...