好友
阅读权限30
听众
最后登录1970-1-1
|
首先呢 一开始我是以为是VC6的、、这个表示让我很蛋疼、、我犯了个小错误 没有想到是这种另类的方式、、
后来一抓包发现还真是飘零的、、这个郁闷了、、
首先先介绍个工具 叫PE提取 、、同时感谢那个 rain灿 师傅 还有 真的很疼 师傅的指点 程序由rain灿师傅提供 程序的作者是让我觉得不爽的一个人
虽然我看他不爽 但是人家的东西确实还不错 唔 别喷 我看人家不爽 但不代表我看人家的技术不爽、、我不怕别人怎么喷我 说我逗比也好、、看人家不爽
还用人家的东西 这个我表示 人家有值得我赞扬的地方 我觉得没什么、、反正资源利用 不要管这么多、、有捷径记得走、、不要在意细节
这个问题就不多说了 陈年旧账、、懒得提、、再一个 是我私人的事情 和大家也没关系 这个话题扯到这、、
关于这个飘零程序、、有值得说的地方
首先是一个VC6的exe 这个应该相当于启动器之类的
然后不知道是不是这个VC6的exe 释放出一个易语言程序 目录在C盘的windows文件夹
这个易语言程序 调用函数OpenFileMappingA 这个是打开内存映像、、我暂时这么理解 我确实看不懂百度的解释 我是菜鸟、、
然后就是载入了VC6这个exe目录下的一个dll 不过在 网动的心 师傅的机子上 好像不是加载的这个dll 这个表示不理解、、
这个dll在我的OD里面看着好像没什么 但实际上 他隐含了真正的飘零主程序的代码、、
说这么多我都感觉绕了、、我也觉得绕 我也说不清楚这个问题、、总之你们要理解的就是这个dll里面 有飘零主程序就可以了、、
后面的 我自己也猜不出到底是怎么个写法、、特别郁闷、、这算是一个另类的写法 我没见过、、
工具使用方法:首先单独运行那个VC6的exe 让程序把代码映射到内存
然后打开OD的附加 看到这里
进程id为608 打开小生我怕怕破解计算器 把608转换为10进制就是 1544 因为OD默认使用的是16进制 所以把16进制转换为10进制即可
提取出来以后 会出现三个文件
一个是一个LOL图标的 那个就是飘零主程序 另外两个 都是易语言图标的 其中一个就是释放在C盘的windows目录的那个 加载函数OpenFileMappingA
另外一个貌似加了pep的壳 我虚拟机运行不起来不知道什么是、、大家有兴趣就去探索下
最后我想对这个程序的作者说 作者 你把源码给我看下吧、、我想知道原理是什么 表示都看不懂、、
想问一下大牛 这个飘零主程序是被哪个exe释放到内存的?是vc6的那个?还是易语言的那个?还是dll?不懂 求源码 求大神解释、、
bypewjtq.zip
(109.93 KB, 下载次数: 37)
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2014-10-2 00:14
|
发表于 2014-10-2 09:23
