网页证书过期给chrome.dll动手术【治愈您的时钟太快了】

冥界3大法王 · 发表于 2022-11-27 11:53

本帖最后由冥界3大法王于 2022-11-27 21:33 编辑

用百度那饭桶搜索出一网页.

点击打开就看到了这！

再点高级，就会看到证书的过期时间(心里记录一下)，到系统时钟里修改成那天，网页就打开了。
也就是说什么时钟快了，完全在扯犊子么，只是网页的制作者的证书又该续费了。。。
所以咱们就用x64dbg来解决这个问题吧。
不然改来改去，多麻烦啊。。。
百度净给蒙爹的答案。
还是法王姥爷教授大家如何手术治愈吧。

不喜欢时间改来改去的，所以说楼主痛的，你的才痛呢~~

费话说完，开始动手：
用x64dbg直接打开，建议到虚拟里，重新拷贝一个chrome复本过去，并删除掉配置
不然启动一堆网页一堆进程，怎么调试的明白？
直接F9让程序运行起来，此时chrome.dll 才会被加载
Alt+E模块窗口中双击 chrome.dll 并搜索字符串
第1次是 clock
第2次是 Certificat

接下来，去网页中打开那个链接https://www.delphitop.com/html/kongjian/5519.html吧。
在上面的证书相关的断点列表中，会被断到多处。
上来第一次调试先断着看，因为并不知接下来出现啥？

接下来，顺势往下走，走到上面的地方，该是可疑的地方不远了。
这里有些用了，记录下来

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

000007FEE578D0C | 75 2F                 | jne chrome.7FEE578D0FE              |
000007FEE578D0C | C74424 20 01000000    | mov dword ptr ss:[rsp+20],1         |
000007FEE578D0D | 48:8D0D FA6F7703      | lea rcx,qword ptr ds:[7FEE8F040D8]  | 000007FEE8F040D8:"interstitial.ssl.clockstate.network3"
000007FEE578D0D | BA 01000000           | mov edx,1                           |
000007FEE578D0E | 41:B8 09000000        | mov r8d,9                           | 9:'\t'
000007FEE578D0E | 41:B9 0A000000        | mov r9d,A                           | A:'\n'
000007FEE578D0E | E8 1C4C0FFC           | call chrome.7FEE1881D10             |
000007FEE578D0F | 48:89C1               | mov rcx,rax                         |
000007FEE578D0F | 48:8905 AA411404      | mov qword ptr ds:[7FEE98D12A8],rax  |
000007FEE578D0F | 48:8B01               | mov rax,qword ptr ds:[rcx]          |
000007FEE578D10 | 89FA                  | mov edx,edi                         |
000007FEE578D10 | FF50 28               | call qword ptr ds:[rax+28]          |
000007FEE578D10 | 48:8B0D A3411404      | mov rcx,qword ptr ds:[7FEE98D12B0]  |
000007FEE578D10 | 48:85C9               | test rcx,rcx                        |
000007FEE578D11 | 75 2F                 | jne chrome.7FEE578D141              |
000007FEE578D11 | C74424 20 01000000    | mov dword ptr ss:[rsp+20],1         |
000007FEE578D11 | 48:8D0D DC6F7703      | lea rcx,qword ptr ds:[7FEE8F040FD]  | 000007FEE8F040FD:"interstitial.ssl.clockstate.build_time"

向F8 单步向下走

上面有个bad_clock

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

000007FEE4B2AAB | 48:8BBC24 F8000000    | mov rdi,qword ptr ss:[rsp+F8]       | [rsp+F8]:&"https://www.delphitop.com/html/kongjian/5519.html"
000007FEE4B2AAB | 48:8B05 0380C304      | mov rax,qword ptr ds:[7FEE9762AC8]  |
000007FEE4B2AAC | 48:31E0               | xor rax,rsp                         |
000007FEE4B2AAC | 48:898424 80000000    | mov qword ptr ss:[rsp+80],rax       |
000007FEE4B2AAD | 48:8D15 B0131404      | lea rdx,qword ptr ds:[7FEE8C6BE87]  | rdx:"bad_clock", 000007FEE8C6BE87:"bad_clock"
000007FEE4B2AAD | 48:8D6C24 50          | lea rbp,qword ptr ss:[rsp+50]       |
000007FEE4B2AAD | 48:89E9               | mov rcx,rbp                         |
000007FEE4B2AAD | E8 567AD3FC           | call chrome.7FEE186253A             |
000007FEE4B2AAE | C64424 20 00          | mov byte ptr ss:[rsp+20],0          |
000007FEE4B2AAE | 4C:8D6424 68          | lea r12,qword ptr ss:[rsp+68]       |
000007FEE4B2AAE | 4C:89E1               | mov rcx,r12                         |
000007FEE4B2AAF | 48:89DA               | mov rdx,rbx                         | rdx:"bad_clock"
000007FEE4B2AAF | 49:89F8               | mov r8,rdi                          | rdi:&"https://www.delphitop.com/html/kongjian/5519.html"

接下来，点网页中的调用系统时钟时，调到下面的地方：

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

000007FEE482E7D | 48:8D05 9BD74304      | lea rax,qword ptr ds:[7FEE8C6BF74]  | 000007FEE8C6BF74:"SSLInterstitial.Advanced"
000007FEE482E7D | EB 7B                 | jmp chrome.7FEE482E856              |
000007FEE482E7D | 41:0FB687 97000000    | movzx eax,byte ptr ds:[r15+97]      |
000007FEE482E7E | 84C0                  | test al,al                          |
000007FEE482E7E | 79 07                 | jns chrome.7FEE482E7EE              |
000007FEE482E7E | 49:8B87 88000000      | mov rax,qword ptr ds:[r15+88]       |
000007FEE482E7E | 48:83F8 09            | cmp rax,9                           | 9:'\t'
000007FEE482E7F | 75 6F                 | jne chrome.7FEE482E863              |
000007FEE482E7F | 48:C74424 20 09000000 | mov qword ptr ss:[rsp+20],9         | 9:'\t'
000007FEE482E7F | 4C:8D0D 83D64304      | lea r9,qword ptr ds:[7FEE8C6BE87]   | r9:"bad_clock", 000007FEE8C6BE87:"bad_clock"

继续先记录。。。

系统时钟修改完之后，再次打开网页，看这次又是断到了何处？

这次断到了这里。

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

000007FEE578D11 | 75 2F                 | jne chrome.7FEE578D141              | yes
000007FEE578D11 | C74424 20 01000000    | mov dword ptr ss:[rsp+20],1         |
000007FEE578D11 | 48:8D0D DC6F7703      | lea rcx,qword ptr ds:[7FEE8F040FD]  | 000007FEE8F040FD:"interstitial.ssl.clockstate.build_time"
000007FEE578D12 | BA 01000000           | mov edx,1                           |
000007FEE578D12 | 41:B8 04000000        | mov r8d,4                           |
000007FEE578D12 | 41:B9 05000000        | mov r9d,5                           | r9d:&"PE"
000007FEE578D13 | E8 D94B0FFC           | call chrome.7FEE1881D10             |
000007FEE578D13 | 48:89C1               | mov rcx,rax                         |
000007FEE578D13 | 48:8905 6F411404      | mov qword ptr ds:[7FEE98D12B0],rax  |
000007FEE578D14 | 48:8B01               | mov rax,qword ptr ds:[rcx]          |
000007FEE578D14 | 89F2                  | mov edx,esi                         |
000007FEE578D14 | FF50 28               | call qword ptr ds:[rax+28]          |
000007FEE578D14 | FFCF                  | dec edi                             |
000007FEE578D14 | 83FF 08               | cmp edi,8                           |
000007FEE578D14 | 77 17                 | ja chrome.7FEE578D167               | keyi 1)修改这里成功了

ja==>改成jmp

改完之后，出来了这，还需要点一次【高级、继续前往】。。。
也就是说大体的思路是正确的，细节还需要再分析下，或许可以更进一步。
那我们接着修改。。。

interstitial.ssl_nonoverrIDAble.is_recurrent_error.ct_error
CERT_DATE_INVALID

最后放出遇到此问题的作弊码：回复后可见。
懒鬼和不会逆向的朋友可以自己尝试。

在上述链接中先按F5刷新，接着在页面数中输入作弊码thisisunsafe，即可直接通关。

有理想的程序员 · 发表于 2022-11-30 22:48

感谢分享

bachelor66 · 发表于 2022-11-28 08:35

还是法王厉害啊

caitounb · 发表于 2022-11-27 11:57

好牛逼，学习一下

52new · 发表于 2022-11-27 12:19

解决大问题了

delicioussky · 发表于 2022-11-27 12:23

学习了，感谢楼主分享

mxx12 · 发表于 2022-11-27 12:42

感谢楼主的帮助

arighteye · 发表于 2022-11-27 13:21

谢谢分享，点赞保存

侃遍天下无二人 · 发表于 2022-11-27 13:59

太棒了，改完以后给你发个钓鱼网站

eer123 · 发表于 2022-11-27 14:09

【高级、继续前往】去除了吗？达到直接访问目标网址的目的了吗？

shinco20 · 发表于 2022-11-27 14:22

这个厉害了

wangxingbo · 发表于 2022-11-27 14:23

学习了，感谢楼主分享

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 网页证书过期给chrome.dll动手术【治愈您的时钟太快了】

免费评分

本帖被以下淘专辑推荐: