思路:在一个正常合法的程序上附加一段代码(这里演示的是调用Winexec打开网页),通过修改原程序的入口点跳到我们加的那段代码上,执行完成我们的代码之后再跳回原来的入口处执行。
步骤:
1.查找源程序入口点
2.搜索能写入代码的区域(或是自己添加区段)
3.向程序中写入我们自己的代码
4.跳回原入口正常执行程序
工具:OD LordPEPEID 测试程序:windows自带计算器calc.exe
测试环境:xp sp3+vs2008
首先peid查看计算器程序,单击 “EP区段”右边的“》”按钮打开“节查看器”,按鼠标右键选择“搜索全0处”,弹出一个“全0处信息”,在这里我们找一块能容下我们代码的空白区域
我们这里就选.text代码段,记下RAV:136b6
然后LordPE打开记下入口点:00012475跟基址RVA:01000000
根据内存地址=基址+rva计算出空白区域的开始内存地址为:10136b6
我们OD打开计算器ctrl+G转到这个地址,然后选中一大块(能存放我们字符串就可以),点击右键--二进制--编辑,将“c:\\program files\\internet explorer\\iexplore.exe
www.baidu.com”写入,写入之后在下面再写入WinExec的Call,先push 1(SW_SHOWNORMAL),在push 10136b6(IE路径(如果在path里直接填入iexplore.exe就可以)),最后call WinExec,写好后再跳回原入口点jmp 1012475,保存所有修改,然后再用loadPe打开修改后的文件,将入口点改为我们里面push 1的地址,这里要转换成文件偏移,减去基址就可以,保存后运行下程序,执行计算器的同时打开了我们制定的网页。
扩展:粘滞键后门,这个好老了,就是远程桌面按五下shift可以调出粘滞键,给服务器留后门的时候可以改下服务器的粘滞键,让其调用winexec为我们添加一个账户,进去后再删掉账户,远程桌面也可以调出放大镜程序,修改这个也可以。入侵时有时拿到webshell在某个目录有上传文件下载文件的权限,提权时也可以在某个目录找到某个常用的文件,找某个程序能调用的DLL也可以,添加一段代码让其添加个用户。好处是不会改变程序版本信息或是大小(不添加区块的情况下),也没有使用第三方软件。
分享到:
相关推荐
对话框程序Pediy,记录登陆时的账号或密码信息。
PEDIY CrackMe 2007.7z PEDIY CrackMe 2007.7z
首先直接运行pw.exe可以看到程序提示的参数信息和显示的当前可用网卡信息。可用网卡信息会保存在CardsInfo.txt文件中。 打开BAT脚本,修改网卡信息,即可。 运行脚本,脚本将数据包文件发送出去。 注意:总的...
si4.pediy.lic
PEDIY软件的加密技术文章提到的一些工具,珍藏多年了
2. 替换原主程序:sourceinsight4.exe 3. 导入授权文件(Import a new license file):si4.pediy.lic Patched sourceinsight4.exe: Size Date Time Checksum Name --------- ---------- ----- -------- ---- ...
最近一直都在看ExeToc的源码,仔细看一看,...如果你在分析程序时,反汇编时显示unknown的代码,或伪代码中显示unknown的代码,或跳转while、for等循环没有分析出来,不要惊讶。这些都需要大量的精力,需要大家共同完善
这是第三版加密解密书的配套光盘,可以和书配套学习。
这是第三版加密解密书的配套光盘,可以和书配套学习。
破解source insight 4.0的所需工具sourceinsight4.exe和si4.pediy.lic
这是第三版加密解密书的配套光盘,可以和书配套学习。
2. 硬盘,kernel32.CreateFile/kernel32.DeviceIoControl(8楼) 3. 显卡,读注册表 4. 卡,iphlpapi.
转载Themida & WinLicense 2.0 - 2.4.6 脱壳需要的脚本 参考链接https://bbs.pediy.com/thread-255174.htm
3. 把 压缩包中的 sourceinsight4.exe 和 si4.pediy.lic 复制到安装目录下,覆盖原来的文件。 4. 运行 sourceinsight4.exe, 指向注册文件。 5. 稍微有钱的还是支持一下软件原作者吧,人家开发也不容易。 6. 没钱有...
介绍如何修改EXE程序的教程
NP的概念(很全;摘自BBS.PEDIY.COM) 来自看雪的精华
PEBrowse Interactive 不是源代码调试器,但可在 Intel x86 的指令级别运行,因此在最低级别运行您的程序的执行位置。调试器完全支持 Microsoft.NET 托管进程和无障碍允许互操作模式调试或混合模式调试。 ...
最初发布在看雪论坛:http://bbs.pediy.com/thread-215669.htm 用法 1. 安装原版软件:Version 4.0.0084 - Feb 26, ...2. 替换原主程序:sourceinsight4.exe 3. 导入授权文件(Import a new license file):si4.csdn.lic
unlocker_ui.exe是主程序 如果unlocker_ui.exe意外退出,会导致服务没有正常卸载的问题,此时请运行ds.exe。 它的功能是手动删除服务,您可能要重新启动计算机才能重新运行unlocker_ui.exe 请将BUG通过以下途径...
我的文章由于只是IDA教程,只是用IDC将加壳的PE文件在IDB文件上脱壳,并修复API符号,到能分析的程序,并没有修复成脱壳的PE文件。 另,我脱的是MSLRHv0.31a。比较简单的壳,适合初学者学习 作者:笨笨雄