小逆向简单分析某人的反弹窗程序
【文章标题】: 简单分析某人的反弹窗程序【文章作者】: Luck
【作者邮箱】: 466748210@qq.com
【作者QQ号】: 由于经常有人骚扰,所以不公开了。
【软件名称】: 吾爱广告弹窗屏蔽器.exe
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
我承认我手贱。
网速太慢,下载半天才完成。首次执行,目录生成MFC99.dll、SkinH_EL.dll
值得蛋疼的是,作者没有使用比较常用的Hook.dll作为注入Dll名,但备注写明了Dll的作用,真是蛋疼……
既然知道那玩具干嘛的,直接拖OD分析。
被VM了?代码真华丽。
不过我们无视。
Ctrl+N,查看输出表。真可爱。
输出Hook\Unhook
选中Hook,回车。数据空白段,代码被移动压缩了吧,所以还没有填充。
F9,重复刚才Ctrl+N和选中Hook函数、回车的动作,代码完成解压缩以及填充工作。
10001080 >833D 1C300010 0>cmp dword ptr , 0
10001087 75 17 jnz short 100010A0
10001089 6A 10 push 10
1000108B 68 5C200010 push 1000205C ; ASCII "ERROR:"
10001090 68 64200010 push 10002064 ; ASCII "WARNING:",LF,"模块句柄",B4,"砦?
10001095 6A 00 push 0
10001097 E8 9E870000 call 1000983A
1000109C 90 nop
1000109D 33C0 xor eax, eax
1000109F C3 retn
100010A0 E8 1F880000 call 100098C4
100010A5 90 nop
100010A6 6A 00 push 0
100010A8 A3 00400010 mov dword ptr , eax
100010AD A1 1C300010 mov eax, dword ptr
100010B2 50 push eax
100010B3 68 10110010 push 10001110
100010B8 6A 03 push 3
100010BA C705 04400010 0>mov dword ptr , 1
100010C4 E8 CA850000 call 10009693
100010C9 90 nop
100010CA 85C0 test eax, eax
100010CC 75 12 jnz short 100010E0
100010CE 6A 10 push 10
100010D0 50 push eax
100010D1 68 7C200010 push 1000207C ; ASCII "Error On Hook ",CR,LF,"hHook is NULL"
100010D6 50 push eax
100010D7 E8 4A850000 call 10009626
100010DC 90 nop
100010DD 33C0 xor eax, eax
100010DF C3 retn
100010E0 A3 20300010 mov dword ptr , eax
100010E5 B8 01000000 mov eax, 1
100010EA C3 retn
100010EB CC int3
100010EC CC int3
100010ED CC int3
100010EE CC int3
100010EF CC int3
100010F0 >A1 20300010 mov eax, dword ptr
100010F5 50 push eax
100010F6 C705 04400010 0>mov dword ptr , 0
10001100 E8 F6850000 call 100096FB
10001105 90 nop
10001106 C3 retn
核心代码被VM了,咱就别进去看了。你能跟VMP单挑?
我不能。
迂回战术。
既然知道Hook技术,那么何须跟VMP过不去。
随便写个程序,调用Dll的Hook函数。
运行,用XueTr查看钩子->应用层钩子
选中刚才写的程序(已经被和谐)
查看钩子。
发现被Hook OpenProcess
禁止创建IE?这主意不错。可是注入别人真的很不道德额……
如何破解它所谓的无敌Hook呢?
这个就不说了吧、让它所谓的“无敌”无效之后,咱继续蛋疼。
--------------------------------------------------------------------------------
【经验总结】
不要和VMP过意不去
--------------------------------------------------------------------------------
【版权声明】: 本文原创于Luck, 转载请注明作者并保持文章的完整, 谢谢!
2010年09月04日 0:03:32 继续喝茶,坐看老毛子内牛满面 板凳占上~~,看戏 虽然看不懂.. 楼主辛苦了, 顶上去 不就是循环取进程列表 然后发现IE进程结束么 你这分析也太牛头不对马嘴了吧 总结的经验挺好:
不要和VMP过意不去................嘿嘿 不就是循环取进程列表 然后发现IE进程结束么 你这分析也太牛头不对马嘴了吧
Tale 发表于 2010-9-5 18:20 http://www.52pojie.cn/images/common/back.gif
易语言核心库被X了,真蛋疼 让诺贝儿奖理事会破天荒地因该帖的出现而开会讨论一直决定今后设立最佳帖子奖的好帖
页:
[1]