吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 6985|回复: 53

[原创逆向视频] 逆向豪迪QQ群发器(APIHOOK去自校验)

  [复制链接]
李沉舟 发表于 2016-11-26 22:35 | 显示全部楼层 |阅读模式

个人的去自校验思路是这样的

程序肯定使用了MD5校验之类的东西

所以我HOOK了CreateFileA

当程序尝试打开运行中的自身(逆向后的)我就让程序打开备份的未逆向的程序

实验成功欺骗了程序

完美去除自校验

视频下载地址:

Patch.e代码
.版本 2

.程序集 程序集1
.程序集变量 hook, 类_APIHOOK

.子程序 _启动子程序, 整数型, 公开, 请在本子程序中放置动态链接库初始化代码

hook.安装 (“kernel32.dll”, “CreateFileA”, &MyCreateFile)

_临时子程序 ()  ' 在初始化代码执行完毕后调用测试代码
返回 (0)  ' 返回值被忽略。

.子程序 MyCreateFile, 整数型, 公开
.参数 打开文件名, 文本型, , lpFileName,要打开的文件的名字
.参数 访问权限, 整数型, , dwDesiredAccess,访问权限
.参数 共享方式, 整数型, , dwShareMode,共享方式
.参数 安全特性, 整数型, , lpSecurityAttributes,安全特性信息
.参数 创建方式, 整数型, , dwCreationDisposition,创建方式
.参数 文件属性, 整数型, , dwFlagsAndAttributes,参见相关帮助
.参数 从文件复制文件属性, 整数型, , hTemplateFile,参见相关帮助
.局部变量 h, 整数型

hook.暂停 (“kernel32.dll”, “CreateFileA”)
.如果真 (打开文件名 = 取运行目录 () + “\” + 取执行文件名 ())  ' 如果是要打开自身文件以进行自校验,则我们打开备份的未修改的文件,并返回该文件句柄,以此欺骗程序
    打开文件名 = 取运行目录 () + “\qqqf.exe.bak”

.如果真结束
h = 创建文件_ (打开文件名, 访问权限, 共享方式, 安全特性, 创建方式, 文件属性, 从文件复制文件属性)
hook.继续 (“kernel32.dll”, “CreateFileA”)
返回 (h)


.子程序 _临时子程序

' 本名称子程序用作测试程序用,仅在开发及调试环境中有效,编译发布程序前将被系统自动清空,请将所有用作测试的临时代码放在本子程序中。 ***注意不要修改本子程序的名称、参数及返回值类型。
1.png

评分

参与人数 13威望 +1 HB +21 THX +8 收起 理由
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
禽大师 + 1
lies + 1
yexing + 1
别管我了行 + 1
金少 + 1
消逝的过去 + 1
temp + 1
playboy + 1
冰原. + 2 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
Shark恒 + 1 + 10 + 1 这帖子竟然我没点亮和评分,估计是漏了。。
_BaZzi + 4 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
破匣求禅 + 1 + 1 吃水不忘打井人,给个评分懂感恩!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
如痴如梦如癫 发表于 2016-11-29 20:35 | 显示全部楼层

杀了个花 牛逼了

评分

参与人数 1THX +1 收起 理由
zg2600 + 1 [?????????52HB.COM]-?????????????????????

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
gawen 发表于 2016-12-28 15:24 | 显示全部楼层

很好的教程
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Phantom_K12 发表于 2017-3-30 19:08 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hehe1954881 发表于 2017-6-1 18:59 | 显示全部楼层

本帖最后由 hehe1954881 于 2017-6-1 19:09 编辑

教程认真的看了几遍,
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
kxwl521 发表于 2017-6-1 19:25 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hehe1954881 发表于 2017-6-2 19:15 | 显示全部楼层

我看了好几遍,自己操作了一边最新的版本,发现hook那一块无法保存写好的程序 OD里面无法保存文件OD提示大概文件无法保存之类的
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
期待 发表于 2018-6-4 13:45 | 显示全部楼层

谢谢分享了哈,学习一下咯
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
gxll123 发表于 2018-6-5 14:58 | 显示全部楼层

来学习了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
小白到大神 发表于 2018-6-6 23:40 | 显示全部楼层

学习学习 酷酷酷
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表