sxr__nc的博客

原创 VS调试VBS或者JS脚本

原创 病毒自启动的方式-笔记不定时更新

一般情况下，在用户点击运行病毒程序之后，病毒才会运行起来，而在大多数情况下，病毒程序在用户运行过后就会对用户的计算机进行某些修改来隐藏自己或者是在用户不知情的情况下运行病毒自身。举几个例子：1、在病毒运行之后，修改注册表实现自启动2、病毒运行之后，实现自删除（其实在这个时候大多数的情况应该是病毒将自身复制到其他的路径下）来伪装自己。3、设置计划任务那么能够让病毒修改启动项之后进行自动运行...

原创 对于API函数的HOOK过程

对ntdll.dll模块的ZwWriteVirtualMemory函数进行HOOK，HOOK的 过程如下：首先获得该函数的地址，之后将该函数的地址设置为可读可写的属性接下来申请一段内存空间，将要HOOK 的函数的内容保存到这段空间里边（毕竟HOOK之后还是要实现原来的功能的，留作以后用）：修改第一条机器码：第二次修改：修改空间属性保存被修改了的指令（hook完...

原创 160个CrackMe-010

查看基本信息：无壳，VB程序，用VB的反编译工具或者OD直接调试都行，先看一下运行之后的样子：使用VB反编译工具的话这一步其实可以省略（毕竟这一步是为了查找关键字，定位程序），VB不太熟悉，先看一下VB反编译工具的反编译结果：大致分析，应该是将输入的字符串存到一个变量里边，每次取字符串中的一个字符：之后将取出来的字符串转换为ASCII码的状态，ASCII加１０之后与既定的密码串进行...

原创 再战加密壳

初识程序：用Die查壳，显示没壳，不太正常，我们换一个工具再来尝试一下：而且我们通过工具可以看到，编辑工具使用VC6.0，接下来我们开始用OD来调试程序：在进去之后，我们先单步一步一步的跟随下去：到第一个CALL指令的时候，我们跟进去看一下，在干什么：进去之后，发现程序是在遍历PEB结构，（同时遍历的还有各个模块的导出函数），之前已经写过PEB的遍历过程，这里就不再赘述。我们跳出...

原创 160个CrackMe-08

趁热打铁，继续看008 ，查看过008之后，008的基本 信息如下：运行结果如下：这次采用VB反编译工具：VB

原创 160个CrackMe-007

继前天做完006之后，又研究了一下007的Crackme，发现虽然有很多地方和006有相似之处，但是相对于006来说，007的算法过程更加复杂，而且相对来说更加隐蔽，下面就先来整理一下整个007算法的逻辑过程：007的破解是：在输入正确的数据之后，让注册按钮消失，这个时候出现Again按钮，之后再输入正确的数据来让Again按钮消失。具体的算法的逻辑过程;1、判断输入的数据是不是纯字母，如果...

原创 神秘脱壳——MoleBox

查壳：脱加密IAT（其实这个也不是加密壳，但是原理差不多）表的三个要素：1、找到OEP2、找到正常IAT的位置3、找到修改IAT的位置找到这三个地方之后，所有的问题迎刃而解。最后还有一个问题，怎么找IAT，怎么判断找到的是IAT，这个时候就涉及到一个问题：什么是IAT？IAT是导入表里边用来存储要使用的函数的地址，所以，这个问题就解决了，怎么找IAT，找CALL指令指向的地址，当然也可...

原创 CrackMe 之 006

在吾爱上边找到的资源，160个Crack me，第六个，网上有很多大佬也有写文章来讲解，当然在破解的时候也有参考，姑且记录下来，当作自己的学习资料：拿到程序之后，查壳：die查壳：可以看到是Delphi的程序，直接上手Darkde进行反编译，这都是后话，在查完壳之后，获取到程序的一些基本信息。下一步先运行一下程序，对于程序有一个大致的了解：...

原创 JS病毒分析总结2

1、write()方法作用：可以向文档中写入HTML和JS代码，可以列出多个参数，按顺序追加到文件中去2、System.Shell.Folder.copyHere方法：将System.Shell.Item复制到文件夹中：MSDN代码示例// Member variables.var oShellFolderItem;var oShellFolder;// --------------...

原创 C# 字符串反向输出

今天抽时间写了一个小程序，对于C#不是很了解，姑且放上来当作自己的学习笔记这个程序的作用是将输入的字符串反向输出：输入：how are you输出： you are how输入：我爱你输出：你爱我using System;using System.Collections.Generic;using System.Linq;using System.Text;namespace...

原创 遍历节区表删除指定区段

#include<stdio.h>#include <Windows.h>#include<tlhelp32.h>#include<string.h>#include <tchar.h>#include <psapi.h>#include <strsafe.h>int main()[HANDLE ...

原创 160个CrackMe之CKme001和CKme002

这个软件的破解和之前的不同，至于哪里不同，作者在附带的文件里边也进行了描述，其实最大的不同就是，这个软件的注册，你会发现连最基本的确认按键都没有，说实话，这个软件注册的破解还是相当简单的，但是如果陷入思维定势就比较难走出来，自然也就需要花费好大的功夫去破解它。现在正式来让我们的主角登场：程序初貌：程序运行之后的界面：把鼠标放在运行界面上边会显示注册成功后将会显示的信息，还是老办法，先智能...

原创 160个Crackme 2AfKayAsCrackMe#1 以及AfKayAsCrackMe#2

在吾爱上找到的练手素材，第一个在很久之前就做过了，网上也有很多这样的分析，今天拿出来，看了一下第二个，粗略看了一下，可能不太细致，姑且当一个自己的学习笔记，若是有哪位看官有不一样的意见，欢迎指点。接下来进入正题：文件运行状态，下边开是拖入OD进行破解，我一般喜欢采用关键字搜索的方式进行破解，比较基础但是挺实用，也可以从其他角度入手，比如说API下断点之类的方法。接下来关键字搜索：可以...

原创 遍历系统进程，结束指定进程

#include<stdio.h>#include <Windows.h>#include<tlhelp32.h>#include<string.h>extern void DirectoryString(DWORD dwIndex);/遍历进程寻找指定进程/void LookForSpecialProcess(){HANDLE hM...

原创 记一次病毒分析过程中的进程附加调试方法

在附加进程 之前要确保所有相关的 进程全部杀掉，因为程序本身具有互斥体的检测：直接调试DesktopLayer.exe,跳到401f5d的位置（这块应该是像chrome注入的地方）之后再下一句处修改汇编指令为： jmp 401f5E(意思就是让他不断地跳到自己的地方，创建一个死循环) 修改之前记得把之前的汇编指令复制一下，下边还会用修改完之后，F9，把程序跑起来，之后再打开一个OD，按...