原理在这里...

论坛:IT江湖作者:=^t^=发表时间:2008-07-02 20:18
调试程序看看。。。

Microsoft Visual C++ 6.0 [Overlay] 编译。这么重要的工具连壳都不加`?

不管。继续,OD载入。

bp MessageBoxA下断。

断下后执行到返回。

100620D0 83EC 64 sub esp, 64
100620D3 56 push esi ; krnln.100EDB10
100620D4 8B7424 74 mov esi, dword ptr [esp+74]
100620D8 57 push edi
100620D9 8B7E 08 mov edi, dword ptr [esi+8]
100620DC 57 push edi
100620DD E8 DEE9FEFF call 10050AC0
100620E2 83C4 04 add esp, 4
100620E5 85C0 test eax, eax
100620E7 74 10 je short 100620F9
100620E9 8D4424 08 lea eax, dword ptr [esp+8]
100620ED 50 push eax
100620EE 56 push esi
100620EF E8 8CBBFFFF call 1005DC80
100620F4 83C4 08 add esp, 8
100620F7 EB 42 jmp short 1006213B
100620F9 81FF 04000080 cmp edi, 80000004
100620FF 75 04 jnz short 10062105
10062101 8B0E mov ecx, dword ptr [esi]
10062103 EB 3A jmp short 1006213F
10062105 81FF 02000080 cmp edi, 80000002
1006210B 75 12 jnz short 1006211F
1006210D 8B16 mov edx, dword ptr [esi]
1006210F 8D4C24 08 lea ecx, dword ptr [esp+8]
10062113 51 push ecx
10062114 52 push edx
10062115 E8 262AFBFF call 10014B40
1006211A 83C4 08 add esp, 8
1006211D EB 1C jmp short 1006213B
1006211F 81FF 03000080 cmp edi, 80000003
10062125 75 1C jnz short 10062143
10062127 8B4E 04 mov ecx, dword ptr [esi+4]
1006212A 8B16 mov edx, dword ptr [esi]
1006212C 8D4424 08 lea eax, dword ptr [esp+8]
10062130 50 push eax
10062131 51 push ecx
10062132 52 push edx
10062133 E8 981CFBFF call 10013DD0
10062138 83C4 0C add esp, 0C
1006213B 8D4C24 08 lea ecx, dword ptr [esp+8]
1006213F 85C9 test ecx, ecx
10062141 75 09 jnz short 1006214C
10062143 C64424 08 00 mov byte ptr [esp+8], 0
10062148 8D4C24 08 lea ecx, dword ptr [esp+8]
1006214C 8B46 20 mov eax, dword ptr [esi+20]
1006214F BA E03D0E10 mov edx, 100E3DE0
10062154 85C0 test eax, eax
10062156 74 03 je short 1006215B
10062158 8B56 18 mov edx, dword ptr [esi+18]
1006215B 8B46 0C mov eax, dword ptr [esi+C]
1006215E 8BF0 mov esi, eax
10062160 F7D6 not esi
10062162 81E6 00100000 and esi, 1000
10062168 8D0470 lea eax, dword ptr [eax+esi*2]
1006216B 50 push eax
1006216C 52 push edx
1006216D 51 push ecx
1006216E 6A 00 push 0
10062170 FF15 A0260C10 call dword ptr [<&USER32.MessageBoxA>>; USER32.MessageBoxA
10062176 5F pop edi
10062177 83F8 03 cmp eax, 3

大家看看,哪有判断注册码啊。直接就开始弹无效窗体了。

。。。。

写大这里,我大概估计了一下,程序的确是一个远程控制,而且还是最老的正向连接的。先给被控制端种入了服务端,再进行端口连接。至于QQ示例图,PS的,而且技术不怎么高明。
标签: 添加标签

0 / 0

发表回复
 
  • 标题
  • 作者
  • 时间
  • 长度
  • 点击
  • 评价

京ICP备14028770号-1