能力值:
( LV4,RANK:40 )
|
-
-
2 楼
这个程序带强壳,且运行时弹出MessageBox来反dump,各位大侠帮忙看看怎么去掉这个MessgeBox??
程序见附件
HOOK.zip
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
Zprotect V1.4.0.0-V1.4.0.X -> lifeengines * Sign.By.fly * 20081019 *
有木马。不搞
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
这壳比较怪,脱是可以脱掉,不过只能对当前系统起作用。
HideOd插件可选的都选上,PlantOm.dll插件,勾上load driver,hide ollyDbg windows,hook NtSetContextThread三项后,可以调试。
esp定律在原esp-4处下硬件访问断点,首次断下后,F7几次可以到OEP,OEP是0x00406574(也可能是0x00406754,前者是从这里jmp过去的)。
接下来IAT不好找,找不到任何像是API调用的地方,我是在2k和xp虚拟机里面分别dump了一份,二进制比较找到的,rva是0x00080064。
另外还要补区段,LordPE把dump引擎选成第二个,把从0x00490000开始到最下面第一个DLL之前的空间一次性dump出来(2k和xp下要补的区段大小不一样),把之前修复好的exe补上区段就可以运行了,不过只能在当前系统下,而且我两台不同机器同一xp系统,也不能通用。
至于MessageBox,它不是这个API调用的,在2k系统下面,它是直接int 2e过去,而xp里面它是填好服务好,调用KiFastSystemCall实现的。可以等它MessageBox出来以后,点OD中断,一直Ctrl+F9到没反应为止,然后去点MessageBox的确定,就可以断下来。把上面那个Call加断点,第二次运行,F7进去,在F8跟个二三十步可以找到,在我虚拟机里面,2k系统的调用地址是0x00B335B5,而xp系统是0x00C31BC3,看情况nop掉就可以了,但不保证你的系统也是这样。
不过这个壳不同系统解出来东西不一样,脱干净确实很困难,我只能到此为止了。
|
能力值:
( LV3,RANK:20 )
|
-
-
5 楼
确认有木马吗?我没发现啊,我用OD下断CreateProcessInternalW和CreateServiceW运行的,都没断下。如果确实有,请告知,我要杀一下。
/*****************************************/
突然想起,它调用MessageBox都是直接int 2e过去的,我加两个API断点,似乎也难防它下木马的手段……
不会真中招了吧,LS知道木马在哪?我杀软没报……
|
能力值:
( LV4,RANK:40 )
|
-
-
6 楼
wzanthony谢谢的你分析,你已经很强大了。佩服啊。向你学习了。。。。
我解释下,这个程序是个外挂的Load DLL部分,不是木马。这个程序主要是将某个dll注入
游戏进程,核心功能在那个dll,所以你放心这个程序不是木马。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
复制一份USER32.DLL ,把里面的GetMessageA、GetMessageW、MessageBoxIndirectA等函数叉叉掉,放到你的程序的同一目录,看怎么样
|
能力值:
( LV12,RANK:441 )
|
-
-
8 楼
lpk hook MessageBoxW+XXX 
|
|
|
|
