[讨论]最新机器狗破解
[讨论]最新机器狗破解议题作者:光芒果
前几天别人给我一份破所有还原的下载者,想把里面的下载地址改成自己的。
这个下载者用WinUpack 0.39 final压过,脱后修复了资源,在资源里看到一个HOOK用的DLL,一个
Downloader的exe,一个Kill杀软的exe,一个破还原的驱动SYS。
程序工作时先从自身释放所有资源,还会感染系统文件explorer.exe,winhlp32.exe,感染时
会在explorer.exe,winhlp32.exe的头部添加一个空间,用来写原来资源里Downloader的
内容。然后读取下载者自身(不在资源那块)的一个明文的下载地址,这个地址好改。
但重启后是被感染的explorer.exe起作用,而这个被感染的文件是读取Downloader(也就是原下载者的
资源部分那个Downloader)里面的下载地址,(也就是说原来下载者有两个放下载地址的地方,一个是
重启前读取的,另一个是重启后读取的。)
问题是资源里的Downloader也是经过WinUpack 0.39 final压过的,要改里面的地址必须要脱壳,
而脱壳后肯定会增大,脱壳后的Downloader可以正常运行,但导入原下载者后运行直接蓝屏。
到底感染的时候出的问题 还是原程序在读取SYS驱动(驱动文件排在Downloader之后)的时候出的问题?
怎么解决?
如分析有需要可以找我要样本Q:89739102 好高深啊。。。。。。。。
[img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img] [img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img] [img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img] [img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img] :mad: :mad: :mad: :mad: 我是菜鸟帮不上忙.就顶一下吧[img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img]
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=165228]0[/url] 积分2 阅读权限40 在线时间1 小时 注册时间2008-6-28 最后登录2008-7-6 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=165228]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33486&repquote=145307&extra=page%3D2&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33486&pid=145307&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=猎头&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]您知道您年薪应是多少?[/url]
[url=http://forum.eviloctal.com/space-uid-66704.html]weknow[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 蓝屏的话 应该和驱动有关 推测原来的机器狗导出资源部分写的不够完美导致的
建议LZ调试一下原来的程序 看看修改之后的机器狗生成的驱动程序与修改之前的有没有什么差异
如果有差异 证明是导出的问题 那么就考虑一下修改导出部分
帖子9 精华[url=http://forum.eviloctal.com/digest.php?authorid=66704]0[/url] 积分29 阅读权限40 在线时间5 小时 注册时间2006-10-14 最后登录2008-7-9 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=66704]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33486&repquote=145310&extra=page%3D2&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33486&pid=145310&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=鲜花预定&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]爱要怎么说出口[/url]
[url=http://forum.eviloctal.com/space-uid-4028.html]光芒果[/url] [img]http://forum.eviloctal.com/customavatars/64507.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 你说“看看修改之后的机器狗生成的驱动程序与修改之前的有没有什么差异”
似乎不大明白,我导出资源时用restorator,把downloader部分导出,修改后再导入,这样会对生成的SYS有什么影响?
怎么改downloader的资源会关系到生成的驱动?select girl from Guilin where age='18-20' and bg='beautiful'--
[url=http://wpa.qq.com/msgrd?V=1&Uin=76194753&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子828 精华[url=http://forum.eviloctal.com/digest.php?authorid=4028]4[/url] 积分5474 阅读权限100 性别男 在线时间160 小时 注册时间2005-4-27 最后登录2008-7-11 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=4028]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33486&repquote=145313&extra=page%3D2&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33486&pid=145313&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-66704.html]weknow[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 回复 板凳 光芒果 的帖子
如果原来的机器狗自己导出资源是按照文件偏移的话 那修改资源之后就不能到处正常的驱动文件 此时如果加载这个畸形的驱动 必然会蓝屏 没见到样本 我只是推测而已
帖子9 精华[url=http://forum.eviloctal.com/digest.php?authorid=66704]0[/url] 积分29 阅读权限40 在线时间5 小时 注册时间2006-10-14 最后登录2008-7-9 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=66704]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33486&repquote=145357&extra=page%3D2&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33486&pid=145357&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-7804.html]int21[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然
页:
[1]