终于补课了:Rtvcan.exe

最新推荐文章于 2024-06-24 10:24:55 发布
最新推荐文章于 2024-06-24 10:24:55 发布
阅读量1.7k 收藏
点赞数
分类专栏: 所有文章 文章标签: c system dll 产品
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thinkSJ/article/details/1133572
版权

001  ;找个时间,把上次还没搞完的应用给补上,用OD加载上次脱过壳的产品,在如下函数上下断:
002      TerminateProcess
003      SetWindowsHookExA
004      UnhookWindowsHookEx
005      MessageBoxA
006      lstrlenA
007      lstrcatA
008      GetWindowTextA
009      GetWindowThreadProcessId
010      CreateEventA
011      CreateFileA
012      CreateMutexA
013      CreateProcessA
014      CreateServiceA
015      CreateThread
016      CreateToolhelp32Snapshot
017      DeviceIoControl
018      fopen
019  ;搞定之后,F9,断在lstrcatA,可以发现它在进行字符串连接,然后就是写注册表启动项:
020     004019AB     68 80000000        push 80
021     004019B0     68 1E344000        push Rtvcan_u.0040341E               ; ASCII "C:/WINNT/system32/Rtvcan.exe"
022     004019B5     E8 04050000        call <jmp.&KERNEL32.GetSystemDirecto>
023     004019BA     68 1E344000        push Rtvcan_u.0040341E               ; ASCII "C:/WINNT/system32/Rtvcan.exe"
024     004019BF     E8 2A050000        call <jmp.&KERNEL32.SetCurrentDirect>
025     004019C4     68 03344000        push Rtvcan_u.00403403               ; ASCII "/Rtvcan.exe"
026     004019C9     68 1E344000        push Rtvcan_u.0040341E               ; ASCII "C:/WINNT/system32/Rtvcan.exe"
027     004019CE     E8 3F050000        call <jmp.&KERNEL32.lstrcat>         ;断在这里
028     004019D3     68 16344000        push Rtvcan_u.00403416
029  
030  ;这里有个比较不合理的地方,它已经将路径进行了硬编码,即使Rtccan.exe不在system32目录下,它也会;按照这种写入。
031  ;往下翻翻代码就会看见,它打开文件了//./Rtvcan,这里它倒是有判断,但由于该驱动已经被停,所以它会;弹出一个错误对话框。
032    00401A42     68 3B214000        push Rtvcan_u.0040213B               ; ASCII "//./Rtvcan"
033    00401A47     E8 0C040000        call <jmp.&KERNEL32.CreateFileA>
034    00401A4C     A3 00304000        mov dword ptr ds:[403000],eax        ;保存文件句柄
035    00401A51     83F8 FF            cmp eax,-1
036    00401A54     75 0F              jnz short Rtvcan_u.00401A65          ;不失败则跳
037  
038  ;为了满足想看看这运行效果的好奇心,启动它的驱动(你可以用4F的KmdManager),运行,竟然没看见界面
039  ;汗..
040  ;接着干活,
041  00401A4C     A3 00304000        mov dword ptr ds:[403000],eax           ; 保存文件句柄
042  00401A51     83F8 FF            cmp eax,-1
043  00401A54     75 0F              jnz short Rtvcan_u.00401A65
044  00401A56     E8 CDF5FFFF        call Rtvcan_u.00401028
045  00401A5B     E8 0FF6FFFF        call Rtvcan_u.0040106F
046  00401A60     A3 00304000        mov dword ptr ds:[403000],eax
047  00401A65     833D 00304000 FF   cmp dword ptr ds:[403000],-1            ; 打开文件是否失败
048  00401A6C     0F84 2A010000      je Rtvcan_u.00401B9C
049  00401A72     6A 00              push 0
050  00401A74     6A 00              push 0
051  00401A76     6A 00              push 0
052  00401A78     6A 00              push 0
053  00401A7A     E8 D3030000        call <jmp.&KERNEL32.CreateEventA>
054  00401A7F     A3 04304000        mov dword ptr ds:[403004],eax           ; 保存事件句柄
055  00401A84     51                 push ecx
056  00401A85     54                 push esp
057  00401A86     6A 00              push 0
058  00401A88     FF35 04304000      push dword ptr ds:[403004]              ; 将事件句柄传给线程
059  00401A8E     68 FA184000        push Rtvcan_u.004018FA                  ; 线程函数
060  00401A93     6A 00              push 0
061  00401A95     6A 00              push 0
062  00401A97     E8 CE030000        call <jmp.&KERNEL32.CreateThread>
063  00401A9C     59                 pop ecx
064  00401A9D     0BC0               or eax,eax
065  00401A9F     0F84 9B000000      je Rtvcan_u.00401B40
066  00401AA5     50                 push eax
067  00401AA6     E8 A1030000        call <jmp.&KERNEL32.CloseHandle>
068  00401AAB     6A 00              push 0
069  00401AAD     8D45 FC            lea eax,dword ptr ss:[ebp-4]            ; DWORD dwReted
070  00401AB0     50                 push eax                                ; push &dwReted
071  00401AB1     6A 00              push 0
072  00401AB3     6A 00              push 0
073  00401AB5     6A 04              push 4                                  ; 缓冲大小
074  00401AB7     68 04304000        push Rtvcan_u.00403004                  ; 输入缓冲区
075  00401ABC     68 00A02200        push 22A000                             ; 控制代码
076  00401AC1     FF35 00304000      push dword ptr ds:[403000]
077  00401AC7     E8 B0030000        call <jmp.&KERNEL32.DeviceIoControl>
078  00401ACC     0BC0               or eax,eax
079  00401ACE     74 5E              je short Rtvcan_u.00401B2E
080  00401AD0     6A 00              push 0
081  00401AD2     E8 DB030000        call <jmp.&KERNEL32.GetModuleHandleA>
082  00401AD7     A3 08304000        mov dword ptr ds:[403008],eax           ; 本模块
083  00401ADC     E8 28F7FFFF        call Rtvcan_u.00401209
084  00401AE1     6A 00              push 0
085  00401AE3     8D45 FC            lea eax,dword ptr ss:[ebp-4]
086  00401AE6     50                 push eax
087  00401AE7     6A 00              push 0
088  00401AE9     6A 00              push 0
089  00401AEB     6A 00              push 0
090  00401AED     6A 00              push 0
091  00401AEF     68 04202200        push 222004                             ; 控制代码
092  00401AF4     FF35 00304000      push dword ptr ds:[403000]
093  00401AFA     E8 7D030000        call <jmp.&KERNEL32.DeviceIoControl>
094  ;可以看到它在这里创建了一个线程,线程函数地址是004018FA,现在我们就去看看它在线程函数里干什么了;:
095  004018FA     55                 push ebp                                ; 线程函数
096  004018FB     8BEC               mov ebp,esp
097  004018FD     83C4 F4            add esp,-0C
098  00401900     C745 F8 20030000   mov dword ptr ss:[ebp-8],320            ; 分配320字节
099  00401907     FF75 F8            push dword ptr ss:[ebp-8]
100  0040190A     E8 F1F6FFFF        call Rtvcan_u.00401000                  ; 分配内存
101  0040190F     0BC0               or eax,eax
102  00401911     0F84 83000000      je Rtvcan_u.0040199A                    ; 失败则结束线程
103  00401917     8945 FC            mov dword ptr ss:[ebp-4],eax            ; 保存分配到的内存
104  0040191A     6A FF              push -1
105  0040191C     FF75 08            push dword ptr ss:[ebp+8]               ; 在此事件上等待
106  0040191F     E8 E8050000        call <jmp.&KERNEL32.WaitForSingleObject>; 等待
107  00401924     83F8 FF            cmp eax,-1
108  00401927     74 51              je short Rtvcan_u.0040197A
109  00401929     833D 14304000 01   cmp dword ptr ds:[403014],1        ;一个标志位
110  00401930     74 60              je short Rtvcan_u.00401992              ; 等于1则结束
111  00401932     6A 64              push 64
112  00401934     E8 C7050000        call <jmp.&KERNEL32.Sleep>              ; 休息0.064秒
113  00401939     6A 00              push 0
114  0040193B     8D45 F4            lea eax,dword ptr ss:[ebp-C]            ; DWORD dwReted
115  0040193E     50                 push eax                                ; push &dwReted
116  0040193F     FF75 F8            push dword ptr ss:[ebp-8]               ; 缓冲区大小
117  00401942     FF75 FC            push dword ptr ss:[ebp-4]               ; 输出缓冲区
118  00401945     6A 00              push 0
119  00401947     6A 00              push 0
120  00401949     68 08602200        push 226008                             ; 控制代码
121  0040194E     FF35 00304000      push dword ptr ds:[403000]              ; 设备句柄
122  00401954     E8 23050000        call <jmp.&KERNEL32.DeviceIoControl>
123  00401959     0BC0               or eax,eax
124  0040195B     74 11              je short Rtvcan_u.0040196E
125  0040195D     837D F4 00         cmp dword ptr ss:[ebp-C],0              ; 如果返回字节数为0
126  00401961     74 0B              je short Rtvcan_u.0040196E
127  00401963     FF75 F4            push dword ptr ss:[ebp-C]               ; 返回字节数
128  00401966     FF75 FC            push dword ptr ss:[ebp-4]               ; 输出缓冲区
129  00401969     E8 73FEFFFF        call Rtvcan_u.004017E1
130  0040196E     68 84030000        push 384
131  00401973     E8 88050000        call <jmp.&KERNEL32.Sleep>              ; 又休息
132  00401978     EB 16              jmp short Rtvcan_u.00401990
133  0040197A     6A 10              push 10
134  0040197C     6A 00              push 0
135  0040197E     68 46214000        push Rtvcan_u.00402146                  ; ASCII "Wait failed. Thread now exits. Restart application."
136  00401983     FF35 0C304000      push dword ptr ds:[40300C]
137  00401989     E8 94040000        call <jmp.&USER32.MessageBoxA>
138  0040198E     EB 02              jmp short Rtvcan_u.00401992
139  00401990   ^ EB 88              jmp short Rtvcan_u.0040191A             ; 继续循环
140  00401992     FF75 FC            push dword ptr ss:[ebp-4]
141  00401995     E8 7AF6FFFF        call Rtvcan_u.00401014                  ; 释放内存
142  0040199A     6A 00              push 0
143  0040199C     E8 E7040000        call <jmp.&KERNEL32.ExitThread>
144  004019A1     C9                 leave
145  004019A2     C2 0400            retn 4
146  
147  ;在线程里它会通过DeviceIoControl向驱动要数据,然后通过00401969处的CALL进一步处理,在00401ADC处;的CALL 00401209的代码中,它先会用互斥来保证单实例运行,然后通过RegisterHotKey注册F11,再然后;就是钩子了,钩子函数地址是0040127F,会在函数中监视键盘,当然也会有其它的操作如枚举DLL等,
148  ;由于这个钩子有点碍事,所以得将00401DAC处的调用NOP掉,继续F8就会发现紧随其后的DeviceIoControl;调用失败,调试到此结束。除以上说的这些之外,它还会创建文件并发送,这个在上次就已经提到了。
149  
150  ;太累了,睡觉去

thinkSJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
“Could not load driverClass “com.mysql.jdbc.Driver“解决方法;安装与卸载mysql;
qq_44290823的博客
01-23 1275
1、pom.xml文件更新报错:Cannot resolve XXX:XXX(Cannot resolve mysql:mysql-connector-java:5.1.32)_怠惰の梦歌的博客-CSDN博客pom.xml文件更新报错:Cannot resolve mysql:mysql-connector-java:5.1.32 + 代码运行报错:警告: Could not load driverClass com.mysql.jdbc.Drive java.lang.ClassNotFoundExcep
Cause: org.h2.jdbc.JdbcSQLSyntaxErrorException: Table “USER“ not found; SQL statement:
weixin_70144763的博客
11-30 1779
然后我就继续找解决办法,一个办法说把数据库改成大小写不敏感,这样也是能解决我现在的问题,但是这个要改服务器的数据库,我没有用这个方法,因为这个错误只在我一个项目中出现,但是其他项目没有出现这个问题,我觉得可能可以不需要在数据库上动刀子就可以解决的,找了两天,嗯是找不到解决办法,什么版本springboot和h2版本问题,也不是我这个问题的答案。存储项目的配置信息:.idea文件夹中包含了项目的各种配置文件,如项目的编译输出路径、模块的依赖关系、版本控制(VCS)配置等。:最后问了组长,组长冷漠回了一句,
代码随想录算法训练营第12天 | 题目:150. 逆波兰表达式求值 239. 滑动窗口最大值 347.前 K 个高频元素
最新发布
weixin_51303606的博客
06-24 1033
有的同学可能会想用一个大顶堆(优先级队列)来存放这个窗口里的k个数字,这样就可以知道最大的最大值是多少了, 但是问题是这个窗口是移动的,而大顶堆每次只能弹出最大值,我们无法移除其他数值,这样就造成大顶堆维护的不是滑动窗口里面的数值了。此时我们需要一个队列,这个队列呢,放进去窗口里的元素,然后随着窗口的移动,队列也一进一出,每次移动之后,队列告诉我们里面的最大值是什么。其实队列没有必要维护窗口里的所有元素,只需要维护有可能成为窗口里最大值的元素就可以了,同时保证队列里的元素数值是由大到小的。
高中生应该补课学计算机,为什么很多高中生都在补课,你觉得高中生应不应该补课?...
weixin_39911567的博客
06-19 139
原标题:为什么很多高中生都在补课,你觉得高中生应不应该补课?网友一:高中当然要补课。在高一时,你怀着信心一定要考上好的大学,结果到了高二你会发现,所学的知识又变难了,平时时不多努力,可能高三真的要倒数了,结果到了高三,发现真疯狂,周围的人把时间看成宝贝,当成金子去捡。高三拼了命的复习,拼命读书,如果从高一就开始认真听老师的话,多学习,多补补课,那么你会在很大程度上提高自己的学习成绩。一般的孩子自制...
Cmake编译时无法打开包括文件: “pthread.h”
Mmonti的博客
05-21 2008
前几天一直没搞明白的问题今天偶然解决了。 生成Helios++的最新工程时,为了配置pyhelios项目而在Cmake里设定了PYTHON_BINDING,同时指定了PYTHON_VERSION和PYTHON_PATH,结果Cmake就一直报错无法打开包括文件: “pthread.h”。找了很多其他的方法都不适用于我的问题,本来已经放弃了开始用去年生成成功的旧版本,结果今天把PYTHON_PATH这个flag去掉了就成功了,原因当然是不知道的后面还得好好补课。。 ...
补课:代码生成技术
天天磨刀
04-05 953
在TurboBlog博客程序的开发过程中,我尝试使用到了后台java代码的生成,确实给工作带来一些便利。 对代码生成有所感触,于是记录下来。 大家看看下图,就能体会到一些代码生成工具的强大: 什么是代码生成? 代码生成,就是Code Generation,想必大家都不会陌生。我们使用Visual Studio等开发工具的时候,很多代码框架都是自动生成。初步的印象就是,代码生成可以减少重复工作。但是,如果更加深入的去看,就会看到,其实不仅代码框架可以自动生成,连编译器都可以认为是代码生成器
Object.assign()用法讲解
cxu123321的博客
01-14 1676
Object.assign()用法讲解 Calla_Lj 最后发布于2019-04-23 18:54:32 语法: Object.assign(target, …sources) target: 目标对象,sources: 源对象 用于将所有可枚举属性的值从一个或多个源对象复制到目标对象。它将返回目标对象。 const target = { a: 1, b: 2 }; const source...
机器学习:补课目录
Yan
10-20 141
补课目录: (已经完成)吴恩达DeepLearning.ai:Deep Learning Specialization (正在进行)李航《统计学习方法》 (计划进行)林轩田 机器学习基石 机器学习技法
java命令行初级
学徒ZSX
02-10 936
引:之前尝试了java 写的一个简单的发送邮件的程序,由于是含有包名,还有依赖的jar包,导致我虽然会写程序但是却不知道怎么组织代码怎么运行代码,所以整理恶补了java 的命令行。在这里整理一下。 一、这里介绍了一些基本的参数含义:很基本的,深入的在这里没有。http://xinklabi.iteye.com/blog/837435 二、这里主要的解决了我的疑惑,地址是:http:
初中补课内容答案.pdf
06-16
初中补课内容答案.pdf
有偿补课:致家长一封信.doc
11-11
有偿补课:致家长一封信.doc
教师有偿补课心得体会.doc
11-29
【文档标题】:“教师有偿补课心得体会.doc” 【文档描述】:此文档可能是关于教师对有偿补课现象的个人见解和体验,探讨了教师、学生和教育系统之间的关系,以及这种现象对教育质量的影响。 【主要内容】:文档...
整治有偿补课承诺书.docx
11-20
【整治有偿补课承诺书】的文档主要讨论了有偿补课的负面影响以及如何有效管理这一现象。有偿补课的危害主要体现在三个方面: 1. 破坏教师群体生态平衡:有偿补课降低了教师的社会声誉,破坏了教师间的良性合作关系...
禁止有偿补课承诺书.docx
11-30
文档中的内容主要涉及的是教育领域的两个重要议题:禁止有偿补课和学校安全管理。以下是相关知识点的详细说明: 1. **禁止有偿补课**: - 有偿补课的危害:它破坏教师群体的生态平衡,降低教师的社会声誉,可能...
如何在命令行下连接SQLServer2000
一花一世界
11-17 5547
  先说一点费话吧.....在不久以前我还是一个非汇编不玩、非C/C++不用的纯微软派的FANS,认为只有这样的程序员才是懂得软件的程序员(但坦白地说我并没有BS过那些搞J2EE和.Net开发的同行们。),所以在我学完了JAVA的语法、做完了几练习之后就完全抛弃了它,一直使用我引以为荣的VC来做为写作平台,即便是在一个项目中用来写界面的代码占据了20%~~30%甚至更高时我也毫无怨言地接受了。
ToolHelp系列函数使用总结
一花一世界
08-12 4484
为了熟悉一下ToolHelp系列函数,所以写了这个东西,做为此时的学习总结,程序的界面如下:为了方便以后使用,我将它写成了DLL,并导出了两个函数:Init、Destroy,现将代码贴出,留待以后查证。本文中所涉及的变量和函数均采用化名,请勿对号入座!001  ///////////////////////////////////////////////////////////
为控制台程序加个图标
一花一世界
04-28 3980
一直想为控制台加上一个漂亮的图标,但在GOOGLE上找了很久也没有找到相关的介绍,没想到在整理硬盘时居然发现我的硬盘上有太多这样的例子了,> 这本书的附书光盘上的所有控制台程序都有图标,于是找一个看了下,大概步骤应该是这样的:在C源文件中自定义入口,如下:DWORD Main (DWORD argc, PTBYTE *argv, PTBYTE *argp)事实上这个
HOOK TerminateProcess:
一花一世界
07-12 3680
     做的那个HOOK TerminateProcess函数的程序终于有点模样了, 比较喜欢JMP方式的彻底,所以就用了。美中不足的就是不能指定要保护的进程,因我在取TerminateProcess的参数时出现了一个怎么也想不通的问题,同样的一个位置,系统自带的任务管理器和sysinternals的ProcessEXp竟然会有不同的解释,对于此函数来说[ESP+8]处保存的应该是进
Winform应用诞生与消亡剖析:从Program.cs第一行代码开始
虽然这些概念对于理解Winform至关重要,但作者明确表示,如果读者对此不熟悉,可以先自行补课,因为这些内容超出了本文的直接讨论范围。 文章最后以一个具体的例子——在点击按钮时弹出MessageBox的详细过程,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值