2017年3月28日
摘要: 经过分析,注册码分为六个部分: Name: "xxx" Addr1: "yyy" Addr2: "zzz" 这三个字符不代表长度 Key1: "32个十六进制数的字符串" 它在内存中的形式是:比如字符串是 "18A519949D4E5F1FAED08A3EAB7CC665" 它会以两个字符为单位作为 阅读全文
posted @ 2017-03-28 16:47 fuckitup123 阅读(758) 评论(0) 推荐(0) 编辑
  2017年3月25日
摘要: 以下是资源文件.rc: 以下是 阅读全文
posted @ 2017-03-25 19:21 fuckitup123 阅读(694) 评论(0) 推荐(0) 编辑
摘要: 此程序建立了一个TCP服务端,端口号为10010,之后accept等待连接,如果接受到连接,那么就发送一些欢迎信息,以及提示信息 发送quit退出. 之后不停地调用recv,如果接受到数据,那么判断是否为quit,是则退出,否则进入401e00对接收到的数据进行加密 ,之后把加密后的数据发送回客户端 阅读全文
posted @ 2017-03-25 17:36 fuckitup123 阅读(443) 评论(0) 推荐(0) 编辑
摘要: 总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服 阅读全文
posted @ 2017-03-25 17:35 fuckitup123 阅读(451) 评论(0) 推荐(0) 编辑
摘要: 主要就是构造408ede处的2A个字节.. 其中第一个字节必须为0x2D,倒数第二个字节必须为0x36,倒数第三个字节为0x31. 之后,对这个2A字节的缓冲区,要满足一些条件: 1\ 在408ede里查找字符0x2E 找到0x2E之后的第一个位置存到栈中,位置A 之后再从位置A开始找0x2D 找到 阅读全文
posted @ 2017-03-25 17:34 fuckitup123 阅读(298) 评论(0) 推荐(0) 编辑
摘要: 病毒行为: 1\将资源中的DLL释放到当前目录下 2\设置注册表,将GINA DLL设置为上一步中释放的DLL DLL行为: 1\在DLL被进程装载时, 装载正常的msgina.dll, 并保存句柄,用于后续调用,保证系统正常运行 2\在hook WlxLoggedOutSAS时, 将第七个参数中的 阅读全文
posted @ 2017-03-25 17:32 fuckitup123 阅读(392) 评论(0) 推荐(0) 编辑
摘要: 根据分析,此病毒是一个勒索软件,通过修改登录用户密码,留下勒索QQ号码向用户索要金钱. 它调用了Kernel32.dll里的WinExec来执行更改用户密码的cmd命令,密码为107289,更改完密码之后就关闭计算机. 解决方案:输入密码107289 或者使用PE系统破解密码. 在修改了最后的关机以 阅读全文
posted @ 2017-03-25 17:30 fuckitup123 阅读(363) 评论(0) 推荐(0) 编辑
  2017年3月20日
摘要: //方式1:MSR Hook #include UINT32 oldaddr = 0; UINT32 pidtoprotect = 3792; PCLIENT_ID pid = 0; PUINT32 accessmask = 0; UINT32 ssdtindex = 0; VOID MyKiFastCallEntry(); //#pragma alloc_text(NONE_PAG... 阅读全文
posted @ 2017-03-20 11:09 fuckitup123 阅读(1185) 评论(0) 推荐(0) 编辑
  2017年2月14日
摘要: https://msdn.microsoft.com/en-us/library/windows/hardware/jj200334(v=vs.85).aspx 需要注意的就是 debugport:n comn 如果VMware打印机占用了com1,那么这里就写2,否则写1. 最后成功了,不过很卡, 阅读全文
posted @ 2017-02-14 19:38 fuckitup123 阅读(162) 评论(0) 推荐(0) 编辑
  2017年1月12日
摘要: 教材上给出了一些说明,虽然是断断续续的.. ..之后通过单步,把断的地方都连起来了,也明白了VMP分析插件究竟做了些什么.. //表1,表2在最后. 之后用VMP默认加密,加密范围是[401002,401006]闭区间 可以看出被加密的代码替换成jmp 402783了. 跟入后是 跟进40267c后 阅读全文
posted @ 2017-01-12 08:17 fuckitup123 阅读(825) 评论(0) 推荐(0) 编辑