用户
搜索
  • TA的每日心情
    慵懒
    12 小时前
  • 签到天数: 179 天

    连续签到: 1 天

    [LV.7]常住居民III

    i春秋签约作家

    Rank: 7Rank: 7Rank: 7

    26

    主题

    738

    帖子

    57

    魔法币
    收听
    3
    粉丝
    11
    注册时间
    2015-11-20

    核心白帽签约作者

    发表于 2017-4-17 18:37:28 719806
    DLL:
    由于输入表中只包含 DLL 名而没有它的路径名,因此加载程序必须在磁盘上搜索 DLL 文件。首先会尝试从当前程序所在的目录加载 DLL,如果没找到,则在Windows 系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的 DLL,提供同样的输出表,每个输出函数转向真正的系统 DLL。程序调用系统 DLL 时会先调用当前目录下伪造的 DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统 DLL 被劫持(hijack)了。

    利用这种方法取得控制权后,可以对主程序进行补丁。此种方法只对除kernel32.dll、ntdll.dll等核心系统库以外的DLL有效,如网络应用程序的ws2_32.dll、游戏程序中的d3d8.dll,还有大部分应用程序都调用的lpk.dll、sxs.dll,这些DLL都可被劫持。

    伪造的 dll 制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数,进入劫持DLL的代码,处理完毕后,再调用原DLL此函数。

    案例软件也是从某个破解论坛上找的,算是拿着做课后练习,边学边记录.

    0x01
    OD
    PYG-优雅DLL劫持补丁制作工具

    0x02
    这个软件是比较低的版本,跟现在升级之后的网络验证有很多不同,本篇是讲的DLL补丁劫持

    0x03
    PEID查壳
    1.png
    无壳,C++编写的,不用在意字符串找不到的问题

    0x04
    载入OD,CTRL+G,到401000
    2.png
    因为之前没有加壳,80%的可能是可以查找到字符串的
    3.png
    来到最上边,找到到期时间双击到代码处,我们就干掉试用时间,达到长久试用的效果
    [AppleScript] 纯文本查看 复制代码
    00401291  |. /0F85 2B010000jnz 2.004013C2
    00401297  |. |68 40726A00   push 2.006A7240
    0040129C  |. |8B0424        mov eax, dword ptr ss:[esp]
    0040129F  |. |8B00          mov eax, dword ptr ds:[eax]
    004012A1  |. |8B00          mov eax, dword ptr ds:[eax]
    004012A3  |. |FF90 88000000call dword ptr ds:[eax+0x88]
    004012A9  |. |8945 F8       mov [local.2], eax
    004012AC  |. |837D F8 01    cmp [local.2], 0x1
    004012B0  |. |0F85 D7000000jnz 2.0040138D
    004012B6  |. |68 40726A00   push 2.006A7240
    004012BB  |. |8B0424        mov eax, dword ptr ss:[esp]
    004012BE  |. |8B00          mov eax, dword ptr ds:[eax]
    004012C0  |. |8B00          mov eax, dword ptr ds:[eax]
    004012C2  |. |FF50 28       call dword ptr ds:[eax+0x28]
    004012C5  |. |8945 FC       mov [local.1], eax
    004012C8  |. |FF75 FC       push [local.1]
    004012CB  |. |68 7E844700   push 2.0047847E                          ;  到期时间:
    004012D0  |. |B9 02000000   mov ecx, 0x2
    004012D5  |. |E8 AAFEFFFF   call 2.00401184
    004012DA  |. |83C4 08       add esp, 0x8
    004012DD  |. |8945 F8       mov [local.2], eax
    004012E0  |. |8B5D FC       mov ebx, [local.1]
    004012E3  |. |85DB          test ebx, ebx
    004012E5  |. |74 09         je short 2.004012F0
    004012E7  |. |53            push ebx
    004012E8  |. |E8 156F0000   call 2.00408202
    004012ED  |. |83C4 04       add esp, 0x4
    004012F0  |> |6A 00         push 0x0
    004012F2  |. |6A 00         push 0x0
    004012F4  |. |6A 00         push 0x0
    004012F6  |. |68 01030080   push 0x80000301
    004012FB  |. |6A 00         push 0x0
    004012FD  |. |68 00000000   push 0x0
    00401302  |. |68 04000080   push 0x80000004
    00401307  |. |6A 00         push 0x0
    00401309  |. |8B45 F8       mov eax, [local.2]
    0040130C  |. |85C0          test eax, eax
    0040130E  |. |75 05         jnz short 2.00401315
    00401310  |. |B8 79844700   mov eax, 2.00478479
    00401315  |> |50            push eax
    00401316  |. |68 03000000   push 0x3
    0040131B  |. |BB 608D4000   mov ebx, 2.00408D60
    00401320  |. |E8 E36E0000   call 2.00408208
    00401325  |. |83C4 28       add esp, 0x28
    00401328  |. |8B5D F8       mov ebx, [local.2]
    0040132B  |. |85DB          test ebx, ebx
    0040132D  |. |74 09         je short 2.00401338
    0040132F  |. |53            push ebx
    00401330  |. |E8 CD6E0000   call 2.00408202
    00401335  |. |83C4 04       add esp, 0x4
    00401338  |> |6A 00         push 0x0
    0040133A  |. |68 00000000   push 0x0
    0040133F  |. |6A FF         push -0x1
    00401341  |. |6A 05         push 0x5
    00401343  |. |68 00000106   push 0x6010000
    00401348  |. |68 01000152   push 0x52010001
    0040134D  |. |E8 DA6E0000   call 2.0040822C
    00401352  |. |83C4 18       add esp, 0x18
    00401355  |. |68 02000080   push 0x80000002
    0040135A  |. |6A 00         push 0x0
    0040135C  |. |68 01000000   push 0x1
    00401361  |. |6A 00         push 0x0
    00401363  |. |6A 00         push 0x0
    00401365  |. |6A 00         push 0x0
    00401367  |. |68 01000100   push0x10001
    0040136C  |. |68 A3000106   push 0x60100A3
    00401371  |. |68 A4000152   push 0x520100A4
    00401376  |. |68 03000000   push 0x3
    0040137B  |. |BB C0854000   mov ebx, 2.004085C0
    00401380  |. |E8 836E0000   call 2.00408208
    00401385  |. |83C4 28       add esp, 0x28
    00401388  |. |E9 30000000   jmp 2.004013BD
    0040138D  |> \6A 00         push 0x0
    0040138F  |.  6A 00        push 0x0
    00401391  |.  6A 00        push 0x0
    00401393  |.  68 01030080  push 0x80000301
    00401398  |.  6A 00        push 0x0
    0040139A  |.  68 00000000  push 0x0
    0040139F  |.  68 04000080  push 0x80000004
    004013A4  |.  6A 00        push 0x0
    004013A6  |.  68 89844700  push 2.00478489                         ;  登录失败
    004013AB  |.  68 03000000  push 0x3
    004013B0  |.  BB 608D4000  mov ebx, 2.00408D60
    004013B5  |.  E8 4E6E0000  call 2.00408208
    004013BA  |.  83C4 28      add esp, 0x28
    004013BD  |>  E9 5D000000  jmp 2.0040141F
    004013C2  |>  68 40726A00  push 2.006A7240

    0x05
    注意看代码,
    4.png
    “到期时间”往上找到一处跳转,然后再往上,还有一处跳转,跳过下面这一个
    但是第一个跳转是跳过登陆失败,第二个是跳过试用时间
    [AppleScript] 纯文本查看 复制代码
    00401291  |. /0F85 2B010000jnz 2.004013C2
    004012B0  |. /0F85 D7000000jnz 2.0040138D
    我们可以修改jnz为jmp或者用00 填充,nop填充
    [AppleScript] 纯文本查看 复制代码
    00401291      90            nop
    00401292      90            nop
    00401293      90            nop
    00401294      90            nop
    00401295      90            nop
    00401296      90            nop
    004012B0      90            nop
    004012B1      90            nop
    004012B2      90            nop
    004012B3      90            nop
    004012B4      90            nop
    004012B5      90            nop

    0x06
    之后搜索二进制字符串FF25
    5.png
    查找易语言体
    6.png
    为什么来到这,因为我们要找程序的开头也就是入口点
    每个jmp回车找一下push ebp
    这个地方我也不懂,摆渡的解释是这样的
    子程序如何存取参数,因为缺省对堆栈操作的寄存器有 ESP 和 EBP,而 ESP是堆栈指针,无法暂借使用,所以一般使用 EBP 来存取堆栈,假定在一个调用中有两个参数,而且在 push 第一个参数前的堆栈指针 ESP 为 X,那么压入两个参数后的 ESP 为 X-8,程序开始执行 call 指令,call 指令把返回地址压入堆栈,这时候 ESP 为 X-C,这时已经在子程序中了,我们可以开始使用 EBP 来存取参数了,但为了在返回时恢复 EBP 的值,我们还是再需要一句 push ebp 来先保存 EBP 的值,这时 ESP 为 X-10,再执行一句 mov ebp,esp,根据右图可以看出,实际上这时候 [ebp + 8] 就是参数1,[ebp + c]就是参数2。

    0x07
    看的我一连mengbi,找到倒数第五个jmp进去
    [AppleScript] 纯文本查看 复制代码
    00424F70  /.  55            push ebp
    00424F71  |.  8BEC          mov ebp, esp
    00424F73  |.  8B45 08       mov eax, [arg.1]
    00424F76  |.  50            push eax
    00424F77  |.  8B4D 08       mov ecx, [arg.1]
    00424F7A  |.  8B148D B89269>mov edx, dword ptr ds:[ecx*4+0x6992B8]
    00424F81  |.  52            push edx
    00424F82  |.  B9 90336B00   mov ecx, 2.006B3390
    00424F87  |.  E8 847EFFFF   call 2.0041CE10
    00424F8C  |.  5D            pop ebp
    00424F8D  \.  C3            retn[align=left]
          
    [AppleScript] 纯文本查看 复制代码
    这地方应该是一个特征,我们把它retn就好了
    00424F70  /.  55            push ebp
    改为
    00424F70      C3            retn
    把所有关键地方找到之后,开始打补丁制作工具对照之前修改的地方

    0x08
    7.png
    然后生成DLL补丁
    8.png
    9.png
    放在同文件目录下运行软件
    10.png 11.png



    点登陆,进去,完事说明:我也是个菜鸡,也是最近在学的破解,文中的软件是借用其他大牛的,我只是做个课后记录,把学习中遇到的问题记录下来,没有其他意思.

    本帖被以下淘专辑推荐:

    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
    来自 7#
    发表于 2017-4-20 16:03:51
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    50
    细节清晰,下次努力。

    使用道具 举报 回复
    发表于 2017-4-17 19:32:36
    学习了
    使用道具 举报 回复
    发表于 2017-4-17 21:22:31
    厉害了 前排支持.
    W3bSafe团队官网:Www.W3bSafe.cn

    勿忘初心 方得始终.
    使用道具 举报 回复
    发表于 2017-4-18 09:31:47
    不错,很深入
    使用道具 举报 回复
    xiaoye 来自手机 版主 pypy 签约作者
    4#
    发表于 2017-4-18 13:05:03
    谢谢表哥分享
    使用道具 举报 回复
    发表于 2017-4-18 16:58:52
    壁纸不错,内容也不错
    使用道具 举报 回复
    好东东 学习了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册