【交作业贴】吾爱破解培训第二课交作业专帖

Kido

前提介绍： 《吾爱破解培训第二课：实战去广告、弹窗及主页锁定》 讲师：Kido http://www.52pojie.cn/thread-384195-1-1.html (出处: 吾爱破解论坛)

回复内容包括解决问题步骤，最后的成品可以上传网盘贴地址，节省论坛空间就不要上传到论坛了。

作业截至到2015年7月25号00：00前提交算数，没有加报名群的同学也可以提交，后期会通过作业的提交情况，来淘汰没有交作业的，让交作业的新人加入。

对于作业的解答我已经更新到上面培训贴中，作业遇到问题的可以参考一下。

帖子我设置只有我可见，等一周后取消，切记不要回复和作业无关内容，否则会被扣分，前50个名交作业的同学有奖励。

niuniu919

写作业用的时间不长，调试工具费了好长时间，把od都给调死了。

习惯性查壳
esp定律脱壳过程略。。。


运行程序看一下，记录下相关提示。



根据弹出的网页，用c32搜索填充成00


填充的时候把另一个小窗口的网页也改了，多余的一步


接着把这个窗口干掉


再进od看看有什么


接着把主页锁定的ren一下。


最后找dialogboxparamw函数，把右下角弹窗ren掉。
最费时间的就是改这个运行框，其实直接输入这个函数名也行，只是当初没有注意大小写，所以无法识别。












修改后保存。

完美运行。


作业成品：http://pan.baidu.com/s/1o6Ic1fk

四点半就起来写作业了，必做的作业完成了，跑步去，有时间再看看选修作业。早安52，早安H大、早安kido大大。。。


附加作业采用rest和c32修改填充下面的广告链接，右侧的按钮用rest修改和移动。主页锁定用od搜索后jmp跳过去。

小人物大智慧

UPX脱壳 脱壳机伺候着

试运行 发现程序会创建三个线程 有个内置广告窗口
1，内置广告窗口就用师傅教程里说到的Restorator 将内置广告窗口大小设置为0 可视取消勾选
2，bp CreateThread
F9 断下后 栈回溯
这段应该是对话框的初始化函数
00402C50  /.  55            push ebp
00402C51  |.  8BEC          mov ebp,esp
00402C53  |.  83EC 14       sub esp,0x14
00402C56  |.  894D EC       mov [local.5],ecx
00402C59  |.  8B4D EC       mov ecx,[local.5]
00402C5C  |.  E8 40D20000   call dumped1_.0040FEA1
00402C61  |.  6A 01         push 0x1                                 ; /Arg2 = 00000001
00402C63  |.  8B45 EC       mov eax,[local.5]                        ; |
00402C66  |.  8B88 2C010000 mov ecx,dword ptr ds:[eax+0x12C]         ; |
00402C6C  |.  51            push ecx                                 ; |Arg1
00402C6D  |.  8B4D EC       mov ecx,[local.5]                        ; |
00402C70  |.  E8 0B030000   call dumped1_.00402F80                   ; \dumped1_.00402F80
00402C75  |.  6A 00         push 0x0                                 ; /Arg2 = 00000000
00402C77  |.  8B55 EC       mov edx,[local.5]                        ; |
00402C7A  |.  8B82 2C010000 mov eax,dword ptr ds:[edx+0x12C]         ; |
00402C80  |.  50            push eax                                 ; |Arg1
00402C81  |.  8B4D EC       mov ecx,[local.5]                        ; |
00402C84  |.  E8 F7020000   call dumped1_.00402F80                   ; \dumped1_.00402F80
00402C89  |.  8D4D F0       lea ecx,[local.4]
00402C8C  |.  51            push ecx                                 ; /Arg5
00402C8D  |.  8D55 F0       lea edx,[local.4]                        ; |
00402C90  |.  52            push edx                                 ; |Arg4
00402C91  |.  8D45 F0       lea eax,[local.4]                        ; |
00402C94  |.  50            push eax                                 ; |Arg3
00402C95  |.  8D4D F0       lea ecx,[local.4]                        ; |
00402C98  |.  51            push ecx                                 ; |Arg2
00402C99  |.  68 B81A5500   push dumped1_.00551AB8                   ; |Arg1 = 00551AB8
00402C9E  |.  8B4D EC       mov ecx,[local.5]                        ; |
00402CA1  |.  81C1 B8000000 add ecx,0xB8                             ; |
00402CA7  |.  E8 54F7FFFF   call dumped1_.00402400                   ; \dumped1_.00402400
00402CAC  |.  E8 8FF8FFFF   call dumped1_.00402540
00402CB1  |.  E8 FAF9FFFF   call dumped1_.004026B0
00402CB6  |.  6A 00         push 0x0                                 ; /pThreadId = NULL
00402CB8  |.  6A 00         push 0x0                                 ; |CreationFlags = 0
00402CBA  |.  6A 00         push 0x0                                 ; |pThreadParm = NULL
00402CBC  |.  68 F02B4000   push dumped1_.00402BF0                   ; |ThreadFunction = dumped1_.00402BF0
00402CC1  |.  6A 00         push 0x0                                 ; |StackSize = 0x0
00402CC3  |.  6A 00         push 0x0                                 ; |pSecurity = NULL
00402CC5  |.  FF15 2C745200 call dword ptr ds:[<&KERNEL32.CreateThre>; \CreateThread
00402CCB  |.  B8 01000000   mov eax,0x1
00402CD0  |.  8BE5          mov esp,ebp
00402CD2  |.  5D            pop ebp
00402CD3  \.  C3            retn


简单分析:
00402CAC  |.  E8 8FF8FFFF   call dumped1_.00402540 功能:进程提权函数
00402CB1  |.  E8 FAF9FFFF   call dumped1_.004026B0 功能:锁定主页 操作注册表
00402CBC  |.  68 F02B4000   push dumped1_.00402BF0  线程入口 功能:创建广告窗口 创建两个线程用来运行IE弹广告

修改方法:
00402CB1    nop
00402CB2    nop
00402CB3    nop
00402CB4    nop
00402CB5    nop
00402CB8    push 0x4

保存即可

http://pan.baidu.com/s/1nty1B0P 密码: qwj8

蚯蚓翔龙

1.
查壳是UPX，话说论坛的完美脱壳脚本还是用不上。。。
手动脱，修复下资源，我人菜只能先搜索字符串了，
搜素到下面文本



可以从中定位到不少关键点

Bp WinExec，ShellExecute


通通nop掉，bp CreateThead拦截创建线程


VC8生成的玩意很容易找到下方地址，F7进去



然后该nop的nop，retn的retn










这个通过将一个硬编码好的字符串跟“52pojie”进行循环Xor 得出网址，我们BP WinExec就可以定位到了（其实之前retn掉call resolve.004026B0 即可一堆东西都能去掉了。。。）


    for(i=0; i < Size;i++)
        Array = Array ^ Key[i %7 ];
小小XOR算法


2.Password H大说的课外作业

程序无壳，
首先搜索字符串吧，定位到


广告立马可以看出来了，搜索下定位了


随便NOP掉CALL就行了，测试软件能正常运行，AD去除了


剩下就靠资源编辑器的能力了，菜单去掉，按钮文字改下










主程序和ViewPass.exe
界面上基本弄好了


也是搜索字符串，NOP掉上述广告所在地方代码
把访问主页也改了，作者别怪我。。。



去除了部分菜单项，木有了


沙发路过…



http://pan.baidu.com/s/1c0m8MqO

Doc 文档。。。里面有全部的图片

kingdjh

对于必做，查看一下字符串，然后根据例子，知道52pojie是一个关键字，找到函数头，直接retn，所有广告都没了...然后再修改下资源，把那个框去掉
对于选做，查看一下字符串，然后在京东什么的地方观察，发现基本所有的广告都在这个函数体内，分析了下，直接把某个ShowWindow的state永久push 0，能实现去掉下面的广告，然后在修改主页的地方有个跳转，直接jmp掉就好了

链接：http://pan.baidu.com/s/1ntEGBl3 密码：hmas

dagangwood

必做题：参考教学视频, 修改资源+retn大法。



附加题：
【1】修改资源，删除底部文本款和多余的菜单选项。
【2】使用jmp无条件跳转屏蔽掉广告弹窗。

2

你肥皂掉了

脱壳，不知道什么壳，也许我用的是PEID，直接ESP定律，能跑！ 再查区段变CODE 脱壳完毕
1.载入C32直接查找52pojie字符串，发现4-5个，可能和老大教程里面说的有点差别，不管三七二十一全部填充0，之后测试能跑o(∩_∩)o ，此处直接把所以的弹窗网页和锁定注册表去掉了，可能我比较懒...OD技术性的都没学到.........师傅求原谅
2.中间的内置弹窗直接用的RES HACKER 修改的，方法和师傅的一样，软件不同罢了
.3右下角的弹窗，直接OD搜到字符串，然后跟进，找到断首，RETN大法完毕


链接: http://pan.baidu.com/s/1pJ3NmC7 密码: 4f9v
请问老大在教程中，你们所在的官方群群号是多少？　想加入　谢谢老大

是是非非

对于正式作业，由课程所讲的API入手查找，将弹窗、弹网页一并JMP/RET，感觉有些代码在里面却没起作用，最后的嵌入式的网页，用CreateWindowExA/W可以成功修改出来，但是不知道怎么保存，最后还是用了资源修改工具

链接: http://pan.baidu.com/s/1o6vHG0q 密码: qa9x

对于附加的小作业，用资源修改工具基本可以搞定

bzzxabc

吾爱破解培训第二课作业:
1.首先对吾爱破解培训第二课作业进行脱壳（UPX）不过脱壳后，OD载入还是提示有压缩代码，但载入后是OEP不影响破解。
2.OD载入查找字符串，找到 SOFTWARE\microsoft\Internet Explorer\Mainretn 双击向上找到004026B0    push将push改成  retn.（锁定主页就去掉了）3.回到字符串窗口，双击 地址=0040282F 反汇编=push 吾爱破解.00551A18 文本字符串=我就是广告\r\n来把我干掉啊\r\n加油！，然后上向到004027E0    55    push ebp将此处改成retn （去掉右下窗口）
4.下DialogBoxParamW断点，断下后点击堆栈回车到程序领空向上到程序段首h将push改成  retn.（去掉左上角白框）
5.下WinExec断点，断下后点击堆栈回车到程序领空向上到程序段首h将push改成  retn.（去掉 http://www.52pojie.cn/forum-5-1.html） http://www.52pojie.cn/forum-5-1.html
6.下CreateProcessA/W断点，断下后点击堆栈回车到程序领空向上到程序段首h将push改成  retn.（去掉http://www.52pojie.cn/forum-68-1.html）
7.C32Asm用0填充 文本字符串=http://www.52pojie.cn/portal.php
8.用Restorator去掉窗口的属性可视。

凌云9

004026B0:  C3  ret  看默认修改主页网址 搜索字符窜 52PoJie ,断首ret
004027E0:  C3  ret  弹窗广告  搜索 我就是广告 断首ret
去除内置网页参考的视频

链接：http://pan.baidu.com/s/1mgvfNNM 密码：q4gq


和上边方法大同小异,用资源修改器发现更简单链接：http://pan.baidu.com/s/1gd5z7zH 密码：e7f5

wen704

管理,我已经修改了作业,把password也加进来了~~~全都改好了~~~

这个是作业的那个单文件的...图片就没截了..全都是文字了...之前交作业还把文字都丢图片了..有点累.管理大大看字可能要麻烦点了...

(就单文件的这个没图..剩下的都有~~)

1.脱壳  保存

2.使用WinHex搜索Ascii和Unicode所有有关52pojie.cn的.一开始有2个exeplore的..全都用十六进制00填充..其他的先不管  保存

3.拖进OD..ctrl + g 到 ShellExecuteA   ShellExecuteW   WinExec  CreateProcessA  CreateProcessW  全都F2

4.运行.等待暂停.停住后在堆栈窗口里的CALL回车即可返回回去.根据堆栈窗口的参数.在反汇编窗口CALL往上数PUSH个数.然后全部nop填充  复制到文件

5.在反汇编窗口右击中文引擎搜索.智能搜索.跳到最上面.看到一个 Internet Explorer\Main 在这上面回车

6.回车后往上翻,找到push ebp..直接retn替换  还是复制到文件

7.还是在智能搜索.看到一个  我就是广告....回车过去...往上翻.找到push ebp,retn替换掉...(这部可能多余的,那个窗口还是在)

8.反汇编窗口ctrl + g 到 DialogBoxParamA  DialogBoxParamA  全都F2

9.运行..等待暂停.暂停后看到push ebp...直接retn  再复制到文件

10.使用Restorator打开文件.拖进文件.在对话框里第一个102...然后按下F6编辑模式...选择中间的内置浏览器..可视去掉
(可能是一开WinHex填充过.内置里访问的网页直接没了...只是这个浏览器一直显示无法访问网页.可视去掉后也就不在后台访问一次网页了)  
保存

至此..这个作业没广告了.....

另一个password..里面有2个exe...先修改一个

查壳 -> 无壳...打开后可以明显看到一个他们的官网并且点击会过去官网,用WinHex编辑一下

搜索ASCII...可以直接00填充...Unicode搜索到不能替换,,,,替换了就不能运行了...

意外发现上面有设置主页的...2345推广....等下用OD来看

既然那个按钮网页去掉了...顺便按钮也搞掉...可视去掉就OK了

OD载入..智能搜索...基本上也就一个主页的问题然后就没有其他广告和明显的弹窗了...这里跟随到数据窗口

直接00填充然后复制到文件...=_=||早知道刚才就直接用WinHex改了

至此...Password里的一个exe改完了

上面这个只是一个附带的程序,下面是主程序了...经过软件的运行和观察...

这个软件有6个网页...3个是下载网页....1个是主页(官网)...1个是亚马逊推广   还有1个是2345推广

直接用WinHex全给填充掉...

目前没发现弹窗

然后OD载入.把2345推广的那个主页设置给retn弄掉了.....

再通过Restorator编辑了一下...最终效果...我就没过程图啦~希望大大原谅我的偷懒



OK...作业全部完成了.下载的时候没看到例子的下载地址....还想练练手的...