学破解论坛

 ★找回密码★
 ★免费注册★

QQ登录

绑定QQ,免密登录

查看: 14848|回复: 830

[原创逆向图文] “修复” E-DEBUG 虫子修复版

  [复制链接] |关注本帖

  离线 

签到天数: 346

今日第35个签到

马上注册,深入学习!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x


一般我是在虚拟机里面用这个的,但是虚拟机我不接网。导致没办法使用,也就是如下:
1.png


而且我看那空间上的特征码最后一次修改是2014年,已经4年没有更新特征码了。还是直接把特征码转到本地算了。
注意,如果OllyDbg装了StrongOD这个插件,在配置里面把Skip Some Exceptions去掉,否则有可能不能调试。
用中文搜索引擎,很快就可以定位到这里。


[Asm] 纯文本查看 复制代码
004066FA  |.  B8 11094200   mov     eax, E-Debug?00420911            ;  toolext.oss-cn-hangzhou.aliyuncs.com/GetCode.asp
004066FF  |.  50            push    eax
00406700  |.  8B5D EC       mov     ebx, [local.5]
00406703  |.  85DB          test    ebx, ebx
00406705  |.  74 09         je      short E-Debug?00406710
00406707  |.  53            push    ebx
00406708  |.  E8 570C0000   call    E-Debug?00407364
0040670D  |.  83C4 04       add     esp, 0x4
00406710  |>  58            pop     eax                              ;  user32.77D19418
00406711  |.  8945 EC       mov     [local.5], eax
00406714  |.  8965 CC       mov     [local.13], esp
00406717  |.  68 00000000   push    0x0
0040671C  |.  FF75 E0       push    [local.8]
0040671F  |.  FF75 E4       push    [local.7]
00406722  |.  68 00000000   push    0x0
00406727  |.  FF75 EC       push    [local.5]
0040672A  |.  FF15 64C34100 call    dword ptr ds:[<&WININET.Internet>;  wininet.InternetOpenA


特征码地址是:toolext.oss-cn-hangzhou.aliyuncs.com/GetCode.asp

复制在浏览器里面打开就可以得到以下数据:
[C] 纯文本查看 复制代码
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



BASE64解码后,得到:

[C] 纯文本查看 复制代码
启窗事件:|按钮事件:|组件命令调用CALL:|核心命令调用CALL:|退出事件:|取MD5:|RC4&DES加密:|RC4&DES解密:|压缩数据:|解压数据:|文本比较:|取十六进制文本:|取硬盘特征字:|调用API地址:|信息框:|取随机数:|取CPU信息:|取网卡信息:|取磁盘信息:|取Bios信息:|取本机名:|子文本替换:|标题赋值(标签窗口等):|信息框:[X]FCDBE3E8|8B55EC8B45088B4C9010894DF0|8D44240883EC0C50FF74241433C089442408|8D54240883EC0C52FF742414C744240800000000|5DC3CCCCCC558BEC8B450850|83EC248B4424305356578B30|8B4424088B4C240C8B5424046A01505152|8B4424088B4C240C8B5424046A00505152|8B44240C5356578B38B8D34D6210|8B44240C5356578B3033FF83C608|F7C20300000075378B023A01|8B44240C83EC348D5424008B08|81EC540200005333DB5653536A03536A0368000000C0|83C404FFE0CC|83EC64568B742474578B7E0857|8B4C240C568B410885C0750433F6|64A100000000506489250000000081ECA80100005356578D4DD48965F0|5556578D4C2414C7442410000000008944240C|64A100000000506489250000000081ECC80000005356578D4DD8|64A100000000506489250000000081ECD00400005356578D4DD4|81EC000100008D442400680001000050E8|8BCF03DF2BF13BF5897424100F|F3A48B7C24108D4C244C894C2428896C242C8B5C241C8B5424246A04FF|8B760C8BCEF7D181E1001000008D144E52505753[X]0|18|0|0|5|0|0|0|0|0|0|0|0|3|0|0|-10|-8|-10|-10|0|18|26|0



关键是下面这一段代码,这段代码从空间里面读出了特征码,
[Asm] 纯文本查看 复制代码
0040678F  |.  50            push    eax
00406790  |.  68 00100000   push    0x1000
00406795  |.  8B45 F8       mov     eax, [local.2]
00406798  |.  85C0          test    eax, eax
0040679A  |.  74 03         je      short E-Debug?0040679F
0040679C  |.  83C0 08       add     eax, 0x8
0040679F  |>  50            push    eax    ;压入缓冲区!!!
004067A0  |.  FF75 DC       push    [local.9]
004067A3  |.  FF15 6CC34100 call    dword ptr ds:[<&WININET.Internet>;  wininet.InternetReadFile

注意0040679F,这代码压入了缓冲区地址,我们只要Patch这里,我们用得到的数据(BASE64编码后,非解码后的数据)填充这个缓冲区即可,把这个API调用去掉,注意要同时去掉4条PUSH语句,如果不去掉的话堆栈会不平衡的(堆栈会乱掉的,有进无出)。
这里有一个小插曲,不知道注意到没有,每次CALL以后,都会校验一次堆栈。
[Asm] 纯文本查看 复制代码
00406781  |.  8965 CC       mov     [local.13], esp
004067AD  |.  3965 CC       cmp     [local.13], esp

对易语言编译器实在是有点无语(为了安全???)就好比说,易语言的发布模式就是其它编译器的DEBUG模式,人最多还只是默认在函数尾部加_chkesp。。。。
00406795,这里取出了缓冲区地址,但注意,后面判断了是否为空指针,如果不是,还增加了8。
打开StudyPE,往后面加一个区块,用来保存我们的本地数据。
2.png
在StudyPE里面保存修改。
记录下这个R Offset字段(0x27000),我们打开010 Editor,转到这个地址,把我们的本地数据复制粘贴进去。
3.png
这段数据长为0x63C。PE被映射后的RVA地址是,0x37000,VA地址是,0x437000。
在010Editor里面保存。
现在打开OllyDbg,Patch这个程序。
Patch前(方便对比):
4.png
我选中的是需要NOP掉的。
[local.2]是dword ptr ss:[ebp-0x8],这是打开了配置里的分析功能,跟我反汇编出来的代码不一样是没有关系的。
Patch后:
5.png
稍稍解释一下几行代码吧,cld,表示把CF标志位清0,与串操作指令连用表示正向传输,rep是指令前缀,movsb表示byte ptr[edi] = byte ptr[esi],mov ecx设置次数。

保存后,在不能访问Internet的情况下打开对比一下看看:
6.png
7.png
上传一份我修改后的版本:
因为附件用不了,还是来百度盘吧。

游客,以下内容已经设置隐藏,如果您要查看本帖隐藏内容请回复本主题(记得评分谢谢楼主呦,评分不扣你的分)





评分

参与人数 32威望 +1 HB +68 THX +30 收起 理由
xuenze + 2 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
dlj + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
das123 + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
hysmy17 + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
Scorpio + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
zcl0317 + 3 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
az7610020 + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
小洋洋 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
lyrong + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
zxjzzh + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
xkang + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
Geek三千 + 2 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
wlzyk118 + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
woisun + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
消逝的过去 + 5 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
b11522 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
jgs + 2 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
yuchungu + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
小白鼠 + 1 + 1 你才是大牛,过程很精彩,谢谢分享,2018发
小柒 + 2 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
DEEMO + 3 + 1 非常受益,感谢
jiqigouer + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
千言万语我的心 + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
blueblood + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
若然 + 2 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
mxx852 + 3 + 1 [快捷评语] - 2018,狗年发发发,祝您运气旺旺旺!
syzh802618 + 3 + 1 [快捷评语] - 2018,狗年发发发,祝您运气旺旺旺!
wq0351 + 1 + 1 [快捷评语] - 2018,狗年发发发,祝您运气旺旺旺!
maxtang0810 + 1 + 1 [快捷评语] - 2018,狗年发发发,祝您运气旺旺旺!
wswwj + 1 + 1 [快捷评语] - 2018,狗年发发发,祝您运气旺旺旺!
DDK4282 + 2 + 1 [快捷评语] - 2018,狗年发发发,祝您运气旺旺旺!
Shark恒 + 1 + 20 + 1 [快捷评语] - 2018,狗年发发发,祝您运气旺旺旺!

还有更多人参与评分,点击查看全部!

学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 599

今日第191个签到



刚刚修复了一下,上传附件功能可以使用了。
我来上传一份。做个备份。(在回复可见里)

感谢沉舟童鞋带来的精彩分析!


学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 369

该用户今日未签到

感谢!
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 306

今日第124个签到

这个厉害了~
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 470

该用户今日未签到

感谢分享,lz2018  发发发
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  在线 

签到天数: 46

该用户今日未签到

这个厉害了~
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 65

该用户今日未签到

感谢表哥分享
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 444

该用户今日未签到

新春礼物,谢谢分享。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

头像被屏蔽

  离线 

签到天数: 5

该用户今日未签到

提示: 作者被禁止或删除 内容自动屏蔽
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

  离线 

签到天数: 474

该用户今日未签到

感谢分享
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者其他任何非法用途!否则,一切后果请用户自负!

站长邮箱:SharkHeng#iCloud.com


站长微信号:SharkHeng|联系Email|鲨鱼逆向|手机版|小黑屋|FAQ|VIP破解教程|学破解论坛 ( 京公网安备 11011502002737号 | 京ICP备14042738号 ) 

GMT+8, 2018-9-24 16:15

快速回复 返回顶部 返回列表