吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7279|回复: 7
收起左侧

[分享] 小逆向简单分析某人的反弹窗程序

[复制链接]
ps520 发表于 2010-9-4 00:01
【文章标题】: 简单分析某人的反弹窗程序
【文章作者】: Luck[LCG]
【作者邮箱】: 466748210@qq.com
【作者QQ号】: 由于经常有人骚扰,所以不公开了。
【软件名称】: 吾爱广告弹窗屏蔽器.exe
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  我承认我手贱。
  
  网速太慢,下载半天才完成。首次执行,目录生成MFC99.dll、SkinH_EL.dll
  
  值得蛋疼的是,作者没有使用比较常用的Hook.dll作为注入Dll名,但备注写明了Dll的作用,真是蛋疼……
  
  既然知道那玩具干嘛的,直接拖OD分析。
  
  被VM了?代码真华丽。
  
  不过我们无视。
  
  Ctrl+N,查看输出表。真可爱。
  
  输出Hook\Unhook
  
  选中Hook,回车。数据空白段,代码被移动压缩了吧,所以还没有填充。
  
  F9,重复刚才Ctrl+N和选中Hook函数、回车的动作,代码完成解压缩以及填充工作。
  
  10001080 >  833D 1C300010 0>cmp     dword ptr [1000301C], 0
  10001087    75 17           jnz     short 100010A0
  10001089    6A 10           push    10
  1000108B    68 5C200010     push    1000205C                         ; ASCII "ERROR:"
  10001090    68 64200010     push    10002064                         ; ASCII "WARNING:",LF,"模块句柄",B4,"砦?
  10001095    6A 00           push    0
  10001097    E8 9E870000     call    1000983A
  1000109C    90              nop
  1000109D    33C0            xor     eax, eax
  1000109F    C3              retn
  100010A0    E8 1F880000     call    100098C4
  100010A5    90              nop
  100010A6    6A 00           push    0
  100010A8    A3 00400010     mov     dword ptr [10004000], eax
  100010AD    A1 1C300010     mov     eax, dword ptr [1000301C]
  100010B2    50              push    eax
  100010B3    68 10110010     push    10001110
  100010B8    6A 03           push    3
  100010BA    C705 04400010 0>mov     dword ptr [10004004], 1
  100010C4    E8 CA850000     call    10009693
  100010C9    90              nop
  100010CA    85C0            test    eax, eax
  100010CC    75 12           jnz     short 100010E0
  100010CE    6A 10           push    10
  100010D0    50              push    eax
  100010D1    68 7C200010     push    1000207C                         ; ASCII "Error On Hook ",CR,LF,"hHook is NULL"
  100010D6    50              push    eax
  100010D7    E8 4A850000     call    10009626
  100010DC    90              nop
  100010DD    33C0            xor     eax, eax
  100010DF    C3              retn
  100010E0    A3 20300010     mov     dword ptr [10003020], eax
  100010E5    B8 01000000     mov     eax, 1
  100010EA    C3              retn
  100010EB    CC              int3
  100010EC    CC              int3
  100010ED    CC              int3
  100010EE    CC              int3
  100010EF    CC              int3
  100010F0 >  A1 20300010     mov     eax, dword ptr [10003020]
  100010F5    50              push    eax
  100010F6    C705 04400010 0>mov     dword ptr [10004004], 0
  10001100    E8 F6850000     call    100096FB
  10001105    90              nop
  10001106    C3              retn
  
  
  核心代码被VM了,咱就别进去看了。你能跟VMP单挑?
  
  我不能。
  
  迂回战术。
  
  既然知道Hook技术,那么何须跟VMP过不去。
  
  随便写个程序,调用Dll的Hook函数。
  
  运行,用XueTr查看钩子->应用层钩子
  
  选中刚才写的程序(已经被和谐)
  
  查看钩子。
  
  发现被Hook OpenProcess
  
  禁止创建IE?这主意不错。可是注入别人真的很不道德额……
  
  如何破解它所谓的无敌Hook呢?
  
  这个就不说了吧、让它所谓的“无敌”无效之后,咱继续蛋疼。
  
  
--------------------------------------------------------------------------------
【经验总结】
  不要和VMP过意不去
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于Luck[LCG], 转载请注明作者并保持文章的完整, 谢谢!

                                                       2010年09月04日 0:03:32

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| ps520 发表于 2010-9-4 00:02
继续喝茶,坐看老毛子内牛满面
wode200910 发表于 2010-9-5 13:22
相信丶奇迹 发表于 2010-9-5 18:09
Tale 发表于 2010-9-5 18:20
不就是循环取进程列表 然后发现IE进程结束么 你这分析也太牛头不对马嘴了吧
小驹 发表于 2010-9-14 20:18
总结的经验挺好:
  不要和VMP过意不去................嘿嘿
 楼主| ps520 发表于 2010-9-15 13:36
不就是循环取进程列表 然后发现IE进程结束么 你这分析也太牛头不对马嘴了吧
Tale 发表于 2010-9-5 18:20



   易语言核心库被X了,真蛋疼
yjw3721 发表于 2010-12-7 18:56
[s:19]让诺贝儿奖理事会破天荒地因该帖的出现而开会讨论一直决定今后设立最佳帖子奖的好帖[s:87]
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2025-1-12 08:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表