美文网首页
《第2期-11 实战飘零4.0山寨》学习笔记

《第2期-11 实战飘零4.0山寨》学习笔记

作者: 听说我在混吃等死 | 来源:发表于2018-09-17 20:28 被阅读0次

从这集视频中,学到了以下两点:
一、在内存中搜索字符串
1、为什么要在内存中搜索字符串呢?


DIE查壳结果

因为这个程序被UPX加壳了,而我们暂时不想脱壳,所以直接载入OD运行起来后,搜索出来的字符串是这样的:


智能搜索字符串
智能搜索的结果
2、方法
载入OD后运行,在工具栏中选择带 “m" 的图标。点击最上面那一行地址,随后输入要查找的字符串 .asp
001.png

第一个找到的不是需要的,因为前面看飘零的源码得到的经验:网址都是以 .asp结尾的,且地址前面是密钥。在窗口中右键选择“下一个”,会继续寻找,直到找到的结果的地址位于程序的地址空间。

二、登录按钮变灰,不可用的解决方法
1、 使用OD的API断点工具,在“限制程序功能”标签页中,把这3个API全选上。


下断点

2、还是看飘零的源码,知道了这个登录按钮是在程序刚运行就被禁用变灰的,所以第一次断下来,就是在禁用登录按钮


断下来
我们看堆栈窗口中,断下来的是EnableWindow这个API。在下面有两个参数,第一个是hWnd不管它;第2个是Enable = FALSE, 对应的值是0。
那么我们来到调用这个API的地方,只需让第一个push 变为push 1就可以了。
修改push

总结一下,上面这两点中都用到了前面对于飘零源代码研究的结果。如果,没有前面的研究,那这里根本不知道连接服务器的地址的格式,是无从下手的。先从使用了这项技术的简单的东西开始研究,总结出这个技术的模式或套路来;然后才能用到复杂的东西上去。

相关文章

网友评论

      本文标题:《第2期-11 实战飘零4.0山寨》学习笔记

      本文链接:https://www.haomeiwen.com/subject/fvwwgftx.html