小小一段代码居然让NT内核蓝屏。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

小小一段代码居然让NT内核蓝屏。

发表于: 2005-10-25 16:52 6574

小小一段代码居然让NT内核蓝屏。

鸡蛋壳

2005-10-25 16:52

6574

今天破解的一个软件的新手法。居然这么容易系统就蓝屏了，报出简短信息：硬件错误。大概是循环几百次，系统就蓝屏了。

0052C369 8B95 58FFFFFF             mov edx,dword ptr ss:[ebp-A8]
0052C36F 8B0CB2                   mov ecx,dword ptr ds:[edx+esi*4]
0052C372 51                      push ecx
0052C373 6A 00                   push 0
0052C375 68 FF0F1F00             push 1F0FFF
0052C37A E8 C3130E00             call <jmp.&kernel32.OpenProcess>
0052C37F 66:C785 70FFFFFF 3401    mov word ptr ss:[ebp-90],134
0052C388 85C0                      test eax,eax
0052C38A 74 08                   je short unpack.0052C394
0052C38C 6A 00                   push 0
0052C38E 50                      push eax
0052C38F E8 32140E00             call <jmp.&kernel32.TerminateProcess>
0052C394 46                      inc esi
0052C395 8B85 54FFFFFF             mov eax,dword ptr ss:[ebp-AC]
0052C39B 3BF0                      cmp esi,eax
0052C39D  ^ 7C CA                   jl short unpack.0052C369

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (18)
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 2 楼楼主强悍，看下代码，或许能够知道调用和操作的过程 2005-10-25 18:05 0
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 3 楼不是一般的强 2005-10-25 23:05 0
huoshan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 90 粉丝 0 关注私信	huoshan 4 楼你*强，多谢无私共享注意文明用语！**by kanxue 2005-10-25 23:40 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 24 关注私信	nbw 24 5 楼 edx指向的那个地方放的是啥？循环几百次，不仅仅是所有进程的句柄吧？还有啥啊。。。。 2005-10-26 00:05 0
fwycfpg 雪币： 254 活跃值： (96) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 57 粉丝 0 关注私信	fwycfpg 1 6 楼呵呵，看的不大明白 2005-10-26 00:10 0
天涯小浪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	天涯小浪 7 楼好厉害的一段代码。 2005-10-26 07:20 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 8 楼是你系统的问题吧,我原来把类似的代码加到外壳里,在XPSP2系统下关键进程无权打开,只能把一些不致命的进程宰了. 2005-10-26 08:31 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 9 楼应该是不是系统问题，鸡蛋壳机器上有些软件有问题。感觉是鸡弹壳机器上有软件用到了驱动而且哪个软件还不完美，只是感觉， 2005-10-26 08:40 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 10 楼最初由云重发布应该是不是系统问题，鸡蛋壳机器上有些软件有问题。感觉是鸡弹壳机器上有软件用到了驱动而且哪个软件还不完美，只是感觉，我系统很干净的。的确蓝屏了，不蓝屏的人好像也会重启。 2005-10-26 12:54 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼最初由 q3 watcher 发布是你系统的问题吧,我原来把类似的代码加到外壳里,在XPSP2系统下关键进程无权打开,只能把一些不致命的进程宰了. 在这个代码前面点进入了2个CALL，没继续看是什么了，不过还调用了列进程列表API，反正这招恶心。不敢点名这个软件，据说作者是北京中关村找高人以及查找大量资料学习了N月的反破解保护技术，整体上看虽然不是壳来防止破解，但这些奇奇怪怪的新式暗招以及自效验时间差自销毁等，对破解难度还是不错的。 2005-10-26 13:00 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 12 楼最初由 nbw 发布 edx指向的那个地方放的是啥？循环几百次，不仅仅是所有进程的句柄吧？还有啥啊。。。。正如你所说是所有进程的。 2005-10-26 13:02 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 13 楼用普通权限用户执行看看。。。 2005-10-26 13:32 0
Tee8088 雪币： 514 活跃值： (733) 能力值： ( LV7，RANK：100 ) 在线值：发帖 41 回帖 412 粉丝 31 关注私信	Tee8088 2 14 楼那是不是就可以借用这个使用那个系统自己Dump的方法来脱壳？？？。 2005-10-26 14:07 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼最初由 rick 发布用普通权限用户执行看看。。。它本身反破解并没有带RING0代码。所以无用。 2005-10-26 14:56 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 24 关注私信	nbw 24 16 楼几百个进程？哪有这么多？ 2005-10-26 16:31 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 17 楼最初由鸡蛋壳发布它本身反破解并没有带RING0代码。所以无用。普通用户杀不掉一些系统进程 2005-10-26 17:32 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 18 楼最初由 nbw 发布几百个进程？哪有这么多？进程当然没有那么多，但进程全部没有了，它还在刷，估计是利用了系统某种BUG，刷到系统蓝屏为止。 2005-10-27 11:01 0
Gaosboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	Gaosboy 19 楼看不大明白，我得到什么程度才能看懂这个？ 2005-10-27 12:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

鸡蛋壳

456

发帖

3147

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 2 楼楼主强悍，看下代码，或许能够知道调用和操作的过程 2005-10-25 18:05 0
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 3 楼不是一般的强 2005-10-25 23:05 0
huoshan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 90 粉丝 0 关注私信	huoshan 4 楼你*强，多谢无私共享注意文明用语！**by kanxue 2005-10-25 23:40 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 24 关注私信	nbw 24 5 楼 edx指向的那个地方放的是啥？循环几百次，不仅仅是所有进程的句柄吧？还有啥啊。。。。 2005-10-26 00:05 0
fwycfpg 雪币： 254 活跃值： (96) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 57 粉丝 0 关注私信	fwycfpg 1 6 楼呵呵，看的不大明白 2005-10-26 00:10 0
天涯小浪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	天涯小浪 7 楼好厉害的一段代码。 2005-10-26 07:20 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 8 楼是你系统的问题吧,我原来把类似的代码加到外壳里,在XPSP2系统下关键进程无权打开,只能把一些不致命的进程宰了. 2005-10-26 08:31 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 9 楼应该是不是系统问题，鸡蛋壳机器上有些软件有问题。感觉是鸡弹壳机器上有软件用到了驱动而且哪个软件还不完美，只是感觉， 2005-10-26 08:40 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 10 楼最初由云重发布应该是不是系统问题，鸡蛋壳机器上有些软件有问题。感觉是鸡弹壳机器上有软件用到了驱动而且哪个软件还不完美，只是感觉，我系统很干净的。的确蓝屏了，不蓝屏的人好像也会重启。 2005-10-26 12:54 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼最初由 q3 watcher 发布是你系统的问题吧,我原来把类似的代码加到外壳里,在XPSP2系统下关键进程无权打开,只能把一些不致命的进程宰了. 在这个代码前面点进入了2个CALL，没继续看是什么了，不过还调用了列进程列表API，反正这招恶心。不敢点名这个软件，据说作者是北京中关村找高人以及查找大量资料学习了N月的反破解保护技术，整体上看虽然不是壳来防止破解，但这些奇奇怪怪的新式暗招以及自效验时间差自销毁等，对破解难度还是不错的。 2005-10-26 13:00 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 12 楼最初由 nbw 发布 edx指向的那个地方放的是啥？循环几百次，不仅仅是所有进程的句柄吧？还有啥啊。。。。正如你所说是所有进程的。 2005-10-26 13:02 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 13 楼用普通权限用户执行看看。。。 2005-10-26 13:32 0
Tee8088 雪币： 514 活跃值： (733) 能力值： ( LV7，RANK：100 ) 在线值：发帖 41 回帖 412 粉丝 31 关注私信	Tee8088 2 14 楼那是不是就可以借用这个使用那个系统自己Dump的方法来脱壳？？？。 2005-10-26 14:07 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼最初由 rick 发布用普通权限用户执行看看。。。它本身反破解并没有带RING0代码。所以无用。 2005-10-26 14:56 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 24 关注私信	nbw 24 16 楼几百个进程？哪有这么多？ 2005-10-26 16:31 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 17 楼最初由鸡蛋壳发布它本身反破解并没有带RING0代码。所以无用。普通用户杀不掉一些系统进程 2005-10-26 17:32 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 18 楼最初由 nbw 发布几百个进程？哪有这么多？进程当然没有那么多，但进程全部没有了，它还在刷，估计是利用了系统某种BUG，刷到系统蓝屏为止。 2005-10-27 11:01 0
Gaosboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	Gaosboy 19 楼看不大明白，我得到什么程度才能看懂这个？ 2005-10-27 12:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复