cm一个
不知谁说的来个动态密码的好!
来一个? 运行后释放在 %TEMP%\huzpsb\huzpsb.exe (设置显示系统隐藏文件夹)
msvbvm60.__vbaVarTstEq 返回值改为1 本帖最后由 聪明的小K 于 2018-11-15 15:44 编辑
初吻给奶嘴耶 发表于 2018-11-15 13:23
运行后释放在 %TEMP%\huzpsb\huzpsb.exe (设置显示系统隐藏文件夹)
msvbvm60.__vbaVarTstEq 返回值改为1
也就是创建了一个新的映像运行?
这就是即使关闭了od程序还在运行的原因吧{:301_1002:}
还有就是这功能是vmp 的保护功能还是楼主自己写的?@huzpsb 聪明的小K 发表于 2018-11-15 15:42
也就是创建了一个新的映像运行?
这就是即使关闭了od程序还在运行的原因吧
还有就是这功能 ...
vmp?你中招了!{:1_927:}
壳基本同https://www.52pojie.cn/thread-822099-1-1.html huzpsb 发表于 2018-11-15 16:07
vmp?你中招了!
壳基本同https://www.52pojie.cn/thread-822099-1-1.html
自己写的壳?那为何要把区段改为vmp... 聪明的小K 发表于 2018-11-15 16:15
自己写的壳?那为何要把区段改为vmp...
坑你这种人啊。:victory:
说一下我破解的思路
17:59:23:(允许)读取注册表键值:HKEY_CURRENT_USER\Control Panel\Mouse\SwapMouseButtons 数据:
17:59:23:(允许)读取文件:C:\Users\Administrators\Desktop\File_safe\crackme3.exe
17:59:23:(允许)读取文件:C:\
17:59:23:(允许)读取文件:C:\Users\desktop.ini
17:59:23:(允许)读取文件:C:\Users
17:59:23:(允许)读取文件:C:\Users\Administrators
17:59:23:(允许)读取文件:C:\Users\Administrators\Desktop\desktop.ini
17:59:23:(允许)读取文件:C:\Users\Administrators\Desktop
17:59:23:(允许)读取文件:C:\Users\Administrators\Desktop\File_safe
17:59:23:(允许)读取文件:C:\Users\Administrators\Desktop\File_safe\crackme3.exe
17:59:23:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb
17:59:23:(允许)创建文件目录:C:\Users\Administrators\AppData\Local\Temp\huzpsb
17:59:23:(允许)获取文件属性:huzpsb
17:59:23:(允许)获取文件属性:C:\Users\Administrators\AppData\Roaming
17:59:23:(安全环境)设置文件属性:\huzpsb
17:59:23:(允许)读取文件:C:\Users\Administrators\Desktop\File_safe\crackme3.exe
17:59:23:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
17:59:23:(允许)查找文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
17:59:23:(允许)写入文件:C:\Users\Administrators\AppData\Local\Temp\aut840.tmp
17:59:23:(允许)写入文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
17:59:23:(允许)删除文件:C:\Users\Administrators\AppData\Local\Temp\aut840.tmp
17:59:23:(允许)写入文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
17:59:23:(安全环境)创建进程:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
17:59:23:(允许)获取进程快照:系统全部进程
17:59:23:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
17:59:23:(允许)查找文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
17:59:23:(允许)删除文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
17:59:23:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb\
17:59:23:(允许)查找文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\*.*
17:59:23:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb
17:59:23:(允许)读取文件:C:\
17:59:23:(允许)读取文件:C:\Users
17:59:23:(允许)读取文件:C:\Users\Administrators
17:59:23:(允许)读取文件:C:\Users\Administrators\AppData
17:59:23:(允许)读取文件:C:\Users\Administrators\AppData\Local
17:59:23:(允许)读取文件:C:\
17:59:23:(允许)读取文件:C:\Users
17:59:23:(允许)读取文件:C:\Users\Administrators
17:59:23:(允许)读取文件:C:\Users\Administrators\AppData
17:59:23:(允许)读取文件:C:\Users\Administrators\AppData\Local
17:59:23:(允许)读取文件:C:\Users\Administrators\AppData\Local\Temp
17:59:23:(允许)读取文件:C:\Windows\Registration\R000000000006.clb
17:59:23:(允许)读取文件:C:\Users\Administrators\AppData\Local\Temp
17:59:23:(允许)写入文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb
17:59:23:(允许)读取文件:C:\
17:59:23:(允许)打开内核对象:\\.\PIPE\srvsvc(物理设备)
17:59:23:(允许)获取文件属性:C:\Users
17:59:23:(允许)获取文件属性:C:\Users\Administrators
17:59:23:(允许)获取文件属性:C:\Users\Public
17:59:23:(允许)访问进程:explorer.exe 进程PID:1984 进程句柄:0 获取权限:64
17:59:23:(允许)删除文件目录:C:\Users\Administrators\AppData\Local\Temp\huzpsb
17:59:23:(允许)访问进程:explorer.exe 进程PID:1984 进程句柄:0 获取权限:64
17:59:23:(允许)读取文件:C:\Windows\system32\rsaenh.dll
我用od运行软件,下vbaVarTstEq断点,显示未知标识符,我是个小白,我也不知道为什么,有大佬能说一下吗
然后我想起软件启动会写入文件C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
我就用另外一个od打开那个软件,下断点成功,堆栈窗口反汇编跟随,找到关键跳,nop掉
yuhan694 发表于 2018-11-15 18:52
说一下我破解的思路
17:59:23:(允许)读取注册表键值:HKEY_CURRENT_USER\Control Panel\Mouse\SwapMou ...
这是一个 dropper 即 木马释放器 (免杀的)
页:
[1]