新鲜的小草莓CM简单分析

分析完后还是很简单的.不用自己去算出成功内容，反而程序直接给出答案
利用vbs弹出信息框
这程序难点可能就在如何找到事件段

一. 一开始就直接自绘事件按钮事件下断.悲剧断不下
     卡在这里很久,最后想到有些易语言cm的作者(猥琐)喜欢用线程,所有线程下断

二. 嘿嘿,断下来了: 0040268A  // Button Event

三. 以下就是事件段的重要位置
1. 获取程序命令行
00402693  |.  68 04000080   push 0x80000004
00402698  |.  6A 00         push 0x0
0040269A  |.  68 D4425600   push 欲望草莓.005642D4
0040269F  |.  68 01000000   push 0x1
004026A4  |.  BB 706C4800   mov ebx,欲望草莓.00486C70
004026A9  |.  E8 463D0800   call 欲望草莓.004863F4                       ;  获取命令行
004026AE  |.  83C4 10       add esp,0x10

2. 字符串
004026C8  |.  6A 00         push 0x0
004026CA  |.  68 BB195200   push 欲望草莓.005219BB  // *内存数据
004026CF  |.  68 01000000   push 0x1

  005219BB  01 00 00 00 34 00 00 00 6D 73 68 74 61 20 76 62  
...4...mshta vb
  005219CB  73 63 72 69 70 74 3A 43 72 65 61 74 65 4F 62 6A  script:CreateObj
  005219DB  65 63 74 28 22 57 73 63 72 69 70 74 2E 53 68 65  ect("Wscript.She
  005219EB  6C 6C 22 29 2E 70 6F 70 75 70 28 22              ll").popup("
  ASCII  mshta vbscript:CreateObject("Wscript.Shell").popup("

3. 字符串
0040279A  |.  6A 00         push 0x0
0040279C  |.  68 F7195200   push 欲望草莓.005219F7  // *内存数据
004027A1  |.  68 01000000   push 0x1

  005219F7  01 00 00 00 18 00 00 00 22 2C 37 2C 22 22 2C 36  
......",7,"",6
  00521A07  34 29 28 77 69 6E 64 6F 77 2E 63 6C 6F 73 65 29  4)(window.close)
  ASCII ",7,"",64)(window.close)

4. 无用处
00402867  |.  68 01030080   push 0x80000301
0040286C  |.  6A 00         push 0x0
0040286E  |.  68 01000000   push 0x1
00402873  |.  68 04000080   push 0x80000004
00402878  |.  6A 00         push 0x0
0040287A  |.  68 171A5200   push 欲望草莓.00521A17      // ASCII ","
0040287F  |.  68 05000080   push 0x80000005
00402884  |.  6A 00         push 0x0
00402886  |.  68 191A5200   push 欲望草莓.00521A19      // *内存数据
0040288B  |.  68 03000000   push 0x3
00402890  |.  B8 01000000   mov eax,0x1
00402895  |.  BB 80314E00   mov ebx,欲望草莓.004E3180
0040289A  |.  E8 6D3B0800   call 欲望草莓.0048640C      // 解密出"失败~
0040289F  |.  83C4 28       add esp,0x28

  00521A19  01 00 00 00 10 00 00 00 73 EE 89 F4 AB 3B EA BC  
......s顗臬;昙
  00521A29  42 58 AA 2F ED 91 7D 48                          BX?響}H
.

5. 判断是否存在命令行
0040297D  |> \8B1D D4425600 mov ebx,dword ptr ds:[0x5642D4]
00402983  |.  E8 85FCFFFF   call 欲望草莓.0040260D                       ;  取命令行数组长度
00402988  |.  8945 F8       mov [local.2],eax
0040298B  |.  837D F8 01    cmp [local.2],0x1
0040298F  |.  0F8C 4C020000 jl 欲望草莓.00402BE1                         ;  没有命令行失败
00402995  |.  8B1D D4425600 mov ebx,dword ptr ds:[0x5642D4]

6. 解密
004029E9  |.  68 01030080   push 0x80000301
004029EE  |.  6A 00         push 0x0
004029F0  |.  68 02000000   push 0x2
004029F5  |.  68 04000080   push 0x80000004
004029FA  |.  6A 00         push 0x0
004029FC  |.  68 171A5200   push 欲望草莓.00521A17    // ASCII ","
00402A01  |.  68 05000080   push 0x80000005
00402A06  |.  6A 00         push 0x0
00402A08  |.  68 311A5200   push 欲望草莓.00521A31    // *内存数据
00402A0D  |.  68 03000000   push 0x3
00402A12  |.  B8 01000000   mov eax,0x1
00402A17  |.  BB 80314E00   mov ebx,欲望草莓.004E3180
00402A1C  |.  E8 EB390800   call 欲望草莓.0048640C    // 解密出"www.diefishfish.com"
00402A21  |.  83C4 28       add esp,0x28

  00521A31  01 00 00 00 13 00 00 00 B4 A6 2A 37 79 A1 6D 16  
......处*7y?
  00521A41  39 DD A2 6D BE 31 85 44 17 D4 F0                 9茛m?匘责
...

7. 文本比较
00402A63  |.  50            push eax                 // "www.diefishfish.com"
00402A64  |.  FF75 F8       push [local.2]           // 命令行
00402A67  |.  E8 B2E9FFFF   call 欲望草莓.0040141E   // 文本比较

调试时后面不用看了，文本比较的结果直接设0,运行程序，显示成功

建议发到图文区

第一次离大大这么近，前排出租广告位……话说这教程为何不来几张图，图文结合效果才好嘛

感谢小明同学，非常精彩！

大神的身影最近出现频繁啊 期待更多教程

Shark恒 发表于 2015-5-6 00:35
感谢小明同学，非常精彩！

你在说我吗

小明 发表于 2015-5-8 18:24
你在说我吗

好多小明啊。哈哈

进来学习的。

多学习多学习