首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]关于彩虹02年微狗求助 谢谢
发表于: 2005-5-15 02:49 4553

[求助]关于彩虹02年微狗求助 谢谢

chinaren 活跃值
2005-5-15 02:49
4553
彩虹02年微狗
下断在 DeviceIoControl

请帮我看看如下情况我该如何处理?

77E1B277 > $  6A 18         push 18  《===断在这里

(提示多处来自
Local Calls from 77E2DF4B, 77E397BD, 77E3983D, 77E3B373, 77E3B4DC, 77E3BA74, 77E3BB8A, 77E482C7, 77E6B374, 77E6B770, 77E6B93A, 77E6BA8D, SetVolumeMountPointW+30D, 77E6BF79, DeleteVolumeMountPointW+137, DeleteVolumeMountPointW+23C

的 call kernel32.DeviceIoControl  在调用这里



77E1B279   .  68 78FDE477   push kernel32.77E4FD78
77E1B27E   .  E8 7364FFFF   call kernel32.77E116F6
77E1B283   .  8B7D 0C       mov edi,dword ptr ss:[ebp+C]
77E1B286   .  81FF 08482D00 cmp edi,2D4808
77E1B28C    ^ 0F84 CDFEFFFF je kernel32.77E1B15F
77E1B292   .  81FF 08480700 cmp edi,74808
77E1B298    ^ 0F84 C1FEFFFF je kernel32.77E1B15F
77E1B29E   .  81FF 20000900 cmp edi,90020
77E1B2A4    ^ 0F84 B5FEFFFF je kernel32.77E1B15F
77E1B2AA   >  33DB          xor ebx,ebx
77E1B2AC   >  8BC7          mov eax,edi
77E1B2AE   .  25 0000FFFF   and eax,FFFF0000
77E1B2B3   .  3D 00000900   cmp eax,90000
77E1B2B8   .  0F95C0        setne al
77E1B2BB   .  8B75 24       mov esi,dword ptr ss:[ebp+24]
77E1B2BE   .  FF75 1C       push dword ptr ss:[ebp+1C]
77E1B2C1   .  FF75 18       push dword ptr ss:[ebp+18]
77E1B2C4   .  FF75 14       push dword ptr ss:[ebp+14]
77E1B2C7   .  FF75 10       push dword ptr ss:[ebp+10]
77E1B2CA   .  57            push edi
77E1B2CB   .  3BF3          cmp esi,ebx
77E1B2CD   .^ 0F85 36FFFFFF jnz kernel32.77E1B209
77E1B2D3   .  3AC3          cmp al,bl
77E1B2D5   .  8D45 D8       lea eax,dword ptr ss:[ebp-28]
77E1B2D8   .  50            push eax
77E1B2D9   .  53            push ebx
77E1B2DA   .  53            push ebx
77E1B2DB   .  53            push ebx
77E1B2DC   .  FF75 08       push dword ptr ss:[ebp+8]
77E1B2DF    ^ 0F84 E5FEFFFF je kernel32.77E1B1CA
77E1B2E5   .  FF15 3810E177 call dword ptr ds:[<&ntdll.NtDeviceIoContro>;  ntdll.ZwDeviceIoControlFile
77E1B2EB   >  3D 03010000   cmp eax,103
77E1B2F0   .^ 0F84 DFFEFFFF je kernel32.77E1B1D5
77E1B2F6   >  3BC3          cmp eax,ebx
77E1B2F8   .  7C 13         jl short kernel32.77E1B30D
77E1B2FA   .  8B45 20       mov eax,dword ptr ss:[ebp+20]
77E1B2FD   .  8B4D DC       mov ecx,dword ptr ss:[ebp-24]
77E1B300   .  8908          mov dword ptr ds:[eax],ecx
77E1B302   >  33C0          xor eax,eax
77E1B304   .  40            inc eax
77E1B305   >  E8 2C64FFFF   call kernel32.77E11736
77E1B30A   .  C2 2000       retn 20
77E1B30D   >  8BD0          mov edx,eax
77E1B30F   .  B9 000000C0   mov ecx,C0000000
77E1B314   .  23D1          and edx,ecx
77E1B316   .  3BD1          cmp edx,ecx
77E1B318   .  74 08         je short kernel32.77E1B322
77E1B31A   .  8B4D 20       mov ecx,dword ptr ss:[ebp+20]
...

[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (6)
nig
雪    币: 413
活跃值: (837)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
2
不用走这么远,你可以在程序中进行处理的,重要是找到微狗的入口,这
样你动手会好些,另外,早期的微狗还是很容易的,如果您没有什么
经验,我建议您可以带狗分析.
2005-5-15 10:32
0
冰川
雪    币: 415
活跃值: (71)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
正如nig所说,不要老在系统中打转,建议你先看狗手册,熟悉读狗API。
2005-5-15 12:23
0
chinaren
雪    币: 236
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
谢谢以上2位高手,我继续研究。。
2005-5-15 12:36
0
allex02
雪    币: 215
活跃值: (122)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
看看论坛精华,好像有这方面的例子
2005-5-16 08:06
0
orchid88
雪    币: 82
活跃值: (790)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
彩虹很简单的,你想复杂了。破解思路不对!看看彩虹的开发手册就明白了。下断在DeviceIoControl是让你快速找到读狗Api的位置,而不是让你在此处浪费时间。一般到达DeviceIoControl后,通过3-4次的return就返回到彩虹狗的标准Api函数中去了。

   
2005-5-16 14:19
0
dalao
雪    币: 1866
活跃值: (95)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
你的解狗方法不对!先看看以前的帖子可以少走很多弯路的!
2005-5-17 12:21
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回