请大家帮忙看这个狗怎么了-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 请大家帮忙看这个狗怎么了 0.00雪花

发表于: 2011-10-20 06:02 10706

[旧帖] 请大家帮忙看这个狗怎么了 0.00雪花

nimitz

2011-10-20 06:02

10706

软件只一个USB狗，单位、家里工作都要用，还不能拔来拔去，想改掉程序检测部分，结果得到这个，‘$‘是什么？
Entry Point : 00029456h
00029456: 55                      push ebp
00029457: 8BEC                   mov ebp, esp
00029459: 6AFF                   push FFFFFFFFh
0002945B: 6860FB4200             push 0042FB60h
00029460: 6868964200             push 00429668h
00029465: 64A100000000          mov eax, fs:[00h]
0002946B: 50                      push eax
0002946C: 64892500000000          mov fs:[00000000h], esp
00029473: 83EC68                sub esp, 00000068h
00029476: 53                      push ebx
00029477: 56                      push esi
00029478: 57                      push edi
00029479: 8965E8                mov [ebp-18h], esp
0002947C: 33DB                   xor ebx, ebx
0002947E: 895DFC                mov [ebp-04h], ebx
00029481: 6A02                   push 00000002h
00029483: FF1554C04200          call [0042C054h]
00029489: 59                      pop ecx
0002948A: 830D48224300FF          or [00432248h], FFFFFFFFh
00029491: 830D4C224300FF          or [0043224Ch], FFFFFFFFh
00029498: FF1550C04200          call [0042C050h]
0002949E: 8B0D14224300          mov ecx, [00432214h]
000294A4: 8908                   mov [eax], ecx
000294A6: FF154CC04200          call [0042C04Ch]
000294AC: 8B0D10224300          mov ecx, [00432210h]
000294B2: 8908                   mov [eax], ecx
000294B4: A148C04200             mov eax, [42C048h]
000294B9: 8B00                   mov eax, [eax]
000294BB: A344224300             mov [432244h], eax
000294C0: E8A1010000             call $+000001A6h
000294C5: 391D88214300          cmp [00432188h], ebx
000294CB: 750C                   jnz $+0Eh
000294CD: 68C0E54100             push 0041E5C0h
000294D2: FF1544C04200          call [0042C044h]
000294D8: 59                      pop ecx
000294D9: E876010000             call $+0000017Bh
000294DE: 680C214300             push 0043210Ch
000294E3: 6808214300             push 00432108h
000294E8: E861010000             call $+00000166h
000294ED: A10C224300             mov eax, [43220Ch]
000294F2: 894594                mov [ebp-6Ch], eax
000294F5: 8D4594                lea eax, [ebp-6Ch]
000294F8: 50                      push eax
000294F9: FF3508224300          push [00432208h]
000294FF: 8D459C                lea eax, [ebp-64h]
00029502: 50                      push eax
00029503: 8D4590                lea eax, [ebp-70h]
00029506: 50                      push eax
00029507: 8D45A0                lea eax, [ebp-60h]
0002950A: 50                      push eax
0002950B: FF153CC04200          call [0042C03Ch]
00029511: 6804214300             push 00432104h
00029516: 6800204300             push 00432000h
0002951B: E82E010000             call $+00000133h
00029520: 83C424                add esp, 00000024h
00029523: A170C04200             mov eax, [42C070h]
00029528: 8B30                   mov esi, [eax]
0002952A: 89758C                mov [ebp-74h], esi
0002952D: 803E22                cmp byte ptr [esi], 22h
00029530: 753A                   jnz $+3Ch
00029532: 46                      inc esi
00029533: 89758C                mov [ebp-74h], esi
00029536: 8A06                   mov al, [esi]
00029538: 3AC3                   cmp al, bl
0002953A: 7404                   jz $+06h
0002953C: 3C22                   cmp al, 22h
0002953E: 75F2                   jnz $-0Ch
00029540: 803E22                cmp byte ptr [esi], 22h
00029543: 7504                   jnz $+06h
00029545: 46                      inc esi
00029546: 89758C                mov [ebp-74h], esi
00029549: 8A06                   mov al, [esi]
0002954B: 3AC3                   cmp al, bl
0002954D: 7404                   jz $+06h
0002954F: 3C20                   cmp al, 20h
00029551: 76F2                   jbe $-0Ch
00029553: 895DD0                mov [ebp-30h], ebx
00029556: 8D45A4                lea eax, [ebp-5Ch]
00029559: 50                      push eax
0002955A: FF150CC04200          call [0042C00Ch]
00029560: F645D001                test byte ptr [ebp-30h], 01h
00029564: 7411                   jz $+13h
00029566: 0FB745D4                movzx eax, word ptr [ebp-2Ch]
0002956A: EB0E                   jmp $+10h
0002956C: 803E20                cmp byte ptr [esi], 20h
0002956F: 76D8                   jbe $-26h
00029571: 46                      inc esi
00029572: 89758C                mov [ebp-74h], esi
00029575: EBF5                   jmp $-09h
00029577: 6A0A                   push 0000000Ah
00029579: 58                      pop eax
0002957A: 50                      push eax
0002957B: 56                      push esi
0002957C: 53                      push ebx
0002957D: 53                      push ebx
0002957E: FF1508C04200          call [0042C008h]
00029584: 50                      push eax
00029585: E8767AFDFF             call $-00028585h
0002958A: 894598                mov [ebp-68h], eax
0002958D: 50                      push eax
0002958E: FF1534C04200          call [0042C034h]
00029594: 8B45EC                mov eax, [ebp-14h]
00029597: 8B08                   mov ecx, [eax]
00029599: 8B09                   mov ecx, [ecx]
0002959B: 894D88                mov [ebp-78h], ecx
0002959E: 50                      push eax
0002959F: 51                      push ecx
000295A0: E8A3000000             call $+000000A8h
000295A5: 59                      pop ecx
000295A6: 59                      pop ecx
000295A7: C3                      ret

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

最新回复 (21)
zhchgao 雪币： 6781 活跃值： (4242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	zhchgao 2 楼看高手回答了。我来学学。 2011-10-20 07:06 0
zhongtiany 雪币： 2813 活跃值： (3420) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 116 粉丝 9 关注私信	zhongtiany 3 楼你得搞清楚是什么狗，再出对策 2011-10-20 08:40 0
adlsy 雪币： 253 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	adlsy 4 楼一般软件使用狗的话，会在很多地方检测狗的存在的，去掉应该挺麻烦的。 $ 好像是表示地址计数器的当前值，也就是本条指令第一个字节的地址偏移。 2011-10-20 10:10 0
风月无泪雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	风月无泪 5 楼看来是需要花点时间的~ 2011-10-20 20:33 0
nimitz 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	nimitz 6 楼这个是域天YT88密码型加密狗，今天找到这个锁的密码？请高手告知在此基础上应向哪个方向努力。 2011-10-20 21:03 0
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 7 楼不懂过来看看大家怎么分析的 2011-10-20 21:03 0
luzhmu 雪币： 66 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 655 粉丝 7 关注私信	luzhmu 8 楼 YT88密码型加密狗容易得很 2011-10-20 23:47 0
nimitz 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	nimitz 9 楼看到兄弟的回复不由得多喝了两杯。下载了一大堆YT狗的分析工具，终于确定是YT88之9型密码狗，请兄弟推荐几篇文章助我一臂之力。 2011-10-21 06:19 0
divl 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	divl 10 楼 $表示地址；赚分升级是王道啊； 2011-10-21 08:09 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 11 楼这只狗可能是疯了 2011-10-21 08:52 0
Pan88168 雪币： 483 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1104 粉丝 8 关注私信	Pan88168 12 楼结合监控工具再去分析软件,会更容易的. 2011-10-21 21:22 0
nimitz 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	nimitz 13 楼最新进展，用TEE大侠的工具，监测到以下数据，请帮忙看看，告知下一步怎么办？ Dog Type: YT密码型 1Function: YT_sWrite In_DATA=012C4CA4 YT_sRead OUT_DATA=7F76D62E 2Function: YT_sWrite In_DATA=012C4CA4 YT_sRead OUT_DATA=7F76D62E 3Function: YT_sWrite In_DATA=012C4CA4 YT_sRead OUT_DATA=7F76D62E 4Function: YT_YReadString Addr=0x0000(0) HKey=736D6C07 LKey=8007FDD0 Len=5 string=99015 5Function: YT_YWriteString Addr=0x0000(0) HKey=FFFFFFFF LKey=FFFFFFFF Len=5 String=99014 6Function: YT_YReadString Addr=0x0000(0) HKey=736D6C07 LKey=8007FDD0 Len=5 string=99014 7Function: YT_YWriteString Addr=0x0000(0) HKey=FFFFFFFF LKey=FFFFFFFF Len=5 String=99013 8Function: YT_YReadString Addr=0x0000(0) HKey=736D6C07 LKey=8007FDD0 Len=5 string=99013 9Function: YT_YWriteString Addr=0x0000(0) HKey=FFFFFFFF LKey=FFFFFFFF Len=5 String=99012 ........ 2011-10-25 21:35 0
Pan88168 雪币： 483 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1104 粉丝 8 关注私信	Pan88168 14 楼模拟? 复制? 破解? 具体你下载一个SDK查下功能吧... 2011-10-26 04:09 0
nimitz 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	nimitz 15 楼我对狗一窍不通，只是希望能最简单地摆脱它的控制-程序如能解决最好，实在不行再考虑复制之类的。具体到SDK，不知下载哪一版本为好。查了看雪论坛相关文章，找不到能读完数据生成文件之后模拟狗的内容，或者是我还没下够功夫？请推荐文章！ 2011-10-26 06:18 0
Pan88168 雪币： 483 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1104 粉丝 8 关注私信	Pan88168 16 楼 yt: a71K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8Y4P5i4A6@1i4K6u0W2j5$3!0E0 2011-10-27 02:20 0
leiyihui 雪币： 504 活跃值： (569) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 147 粉丝 0 关注私信	leiyihui 17 楼很蛋疼，对于最新改的固件，明码只能得到读/写密钥，对于算法/增强算法USB监控也得不到啥了。如果没有加强壳，应该跟踪程序会好些吧。 2011-11-7 11:37 0
MarkZar 雪币： 103 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 73 粉丝 0 关注私信	MarkZar 18 楼简单地说就是当前指令所在的地址值 2011-11-8 15:49 0
luzhmu 雪币： 66 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 655 粉丝 7 关注私信	luzhmu 19 楼增强算法密钥在程序里，找到后就可以复制狗了 2011-11-8 20:57 0
兴达电子雪币： 22 活跃值： (4723) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	兴达电子 20 楼学习学习，有收获 2012-10-25 22:33 0
血修罗雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	血修罗 21 楼我也有一只这样的狗，疯狗，拿他没办法啊，天域YT88第9版增强算法的 2013-4-13 14:14 0
qinglgq 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	qinglgq 22 楼来看高手作答的，嘿嘿。。。。。。。。。 2013-4-16 19:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nimitz

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
zhchgao 雪币： 6781 活跃值： (4242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	zhchgao 2 楼看高手回答了。我来学学。 2011-10-20 07:06 0
zhongtiany 雪币： 2813 活跃值： (3420) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 116 粉丝 9 关注私信	zhongtiany 3 楼你得搞清楚是什么狗，再出对策 2011-10-20 08:40 0
adlsy 雪币： 253 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	adlsy 4 楼一般软件使用狗的话，会在很多地方检测狗的存在的，去掉应该挺麻烦的。 $ 好像是表示地址计数器的当前值，也就是本条指令第一个字节的地址偏移。 2011-10-20 10:10 0
风月无泪雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	风月无泪 5 楼看来是需要花点时间的~ 2011-10-20 20:33 0
nimitz 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	nimitz 6 楼这个是域天YT88密码型加密狗，今天找到这个锁的密码？请高手告知在此基础上应向哪个方向努力。 2011-10-20 21:03 0
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 7 楼不懂过来看看大家怎么分析的 2011-10-20 21:03 0
luzhmu 雪币： 66 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 655 粉丝 7 关注私信	luzhmu 8 楼 YT88密码型加密狗容易得很 2011-10-20 23:47 0
nimitz 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	nimitz 9 楼看到兄弟的回复不由得多喝了两杯。下载了一大堆YT狗的分析工具，终于确定是YT88之9型密码狗，请兄弟推荐几篇文章助我一臂之力。 2011-10-21 06:19 0
divl 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	divl 10 楼 $表示地址；赚分升级是王道啊； 2011-10-21 08:09 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 11 楼这只狗可能是疯了 2011-10-21 08:52 0
Pan88168 雪币： 483 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1104 粉丝 8 关注私信	Pan88168 12 楼结合监控工具再去分析软件,会更容易的. 2011-10-21 21:22 0
nimitz 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	nimitz 13 楼最新进展，用TEE大侠的工具，监测到以下数据，请帮忙看看，告知下一步怎么办？ Dog Type: YT密码型 1Function: YT_sWrite In_DATA=012C4CA4 YT_sRead OUT_DATA=7F76D62E 2Function: YT_sWrite In_DATA=012C4CA4 YT_sRead OUT_DATA=7F76D62E 3Function: YT_sWrite In_DATA=012C4CA4 YT_sRead OUT_DATA=7F76D62E 4Function: YT_YReadString Addr=0x0000(0) HKey=736D6C07 LKey=8007FDD0 Len=5 string=99015 5Function: YT_YWriteString Addr=0x0000(0) HKey=FFFFFFFF LKey=FFFFFFFF Len=5 String=99014 6Function: YT_YReadString Addr=0x0000(0) HKey=736D6C07 LKey=8007FDD0 Len=5 string=99014 7Function: YT_YWriteString Addr=0x0000(0) HKey=FFFFFFFF LKey=FFFFFFFF Len=5 String=99013 8Function: YT_YReadString Addr=0x0000(0) HKey=736D6C07 LKey=8007FDD0 Len=5 string=99013 9Function: YT_YWriteString Addr=0x0000(0) HKey=FFFFFFFF LKey=FFFFFFFF Len=5 String=99012 ........ 2011-10-25 21:35 0
Pan88168 雪币： 483 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1104 粉丝 8 关注私信	Pan88168 14 楼模拟? 复制? 破解? 具体你下载一个SDK查下功能吧... 2011-10-26 04:09 0
nimitz 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	nimitz 15 楼我对狗一窍不通，只是希望能最简单地摆脱它的控制-程序如能解决最好，实在不行再考虑复制之类的。具体到SDK，不知下载哪一版本为好。查了看雪论坛相关文章，找不到能读完数据生成文件之后模拟狗的内容，或者是我还没下够功夫？请推荐文章！ 2011-10-26 06:18 0
Pan88168 雪币： 483 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1104 粉丝 8 关注私信	Pan88168 16 楼 yt: a71K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8Y4P5i4A6@1i4K6u0W2j5$3!0E0 2011-10-27 02:20 0
leiyihui 雪币： 504 活跃值： (569) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 147 粉丝 0 关注私信	leiyihui 17 楼很蛋疼，对于最新改的固件，明码只能得到读/写密钥，对于算法/增强算法USB监控也得不到啥了。如果没有加强壳，应该跟踪程序会好些吧。 2011-11-7 11:37 0
MarkZar 雪币： 103 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 73 粉丝 0 关注私信	MarkZar 18 楼简单地说就是当前指令所在的地址值 2011-11-8 15:49 0
luzhmu 雪币： 66 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 655 粉丝 7 关注私信	luzhmu 19 楼增强算法密钥在程序里，找到后就可以复制狗了 2011-11-8 20:57 0
兴达电子雪币： 22 活跃值： (4723) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	兴达电子 20 楼学习学习，有收获 2012-10-25 22:33 0
血修罗雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	血修罗 21 楼我也有一只这样的狗，疯狗，拿他没办法啊，天域YT88第9版增强算法的 2013-4-13 14:14 0
qinglgq 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	qinglgq 22 楼来看高手作答的，嘿嘿。。。。。。。。。 2013-4-16 19:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复