以为捏的是软柿子,实则为榴莲。记录豪迪群发2018.5.1版过自校验。
本帖最后由 zcl0317 于 2018-5-6 00:24 编辑上一篇写到捏了个榴莲,https://www.52hb.com/thread-37674-1-1.html
捏得手痛了,所以留着现在再开一篇直播劈榴莲。自己挖的坑自己填啊。{:5_188:}{:5_188:}
这次要解决的问题是如下图的:逆向后,自定义文本能群发,插入时间字母等则会显示乱码。
按钮事件走起。
这次绝不错误示范,很认真的。。。
运行程序,随意添加个字母。触发事件。
跟踪的过程还是很苦B的。
一直向下单步执行,发现到此处有个可疑字符串。好奇如我,打开原版对比了一下。果然不同。
难道就是这里变了,所以才显示乱码吗?
试验一下。
难道,到此就算劈完了吗?当然不能。榴莲都不会同意。
首先我们得看下是哪里生成的这串数字吧?
重载,来到按钮事件代码,进入第一个CALL分析的结果
0040A05B|.E8 24CEFFFF call <jmp.&kernel32.FindFirstFileA> ; \根据文件名查找文件。
0040A066|.E8 01CEFFFF call <jmp.&kernel32.FindClose> ; \关闭由FindFirstFile函数创建的一个搜索句柄
0040A07F|.E8 E0CDFFFF call <jmp.&kernel32.FileTimeToLocalFileT>; \将一个FILETIME结构转换成本地时间
0040A090|.E8 C7CDFFFF call <jmp.&kernel32.FileTimeToDosDateTim>; \将一个 win32 FILETIME 值转换成DOS日期和时间值
00402AF8|.E8 3FE8FFFF call <jmp.&kernel32.GetModuleFileNameA>; \GetModuleFileNameA
00402B0A|> \E8 1DE8FFFF call <jmp.&kernel32.GetCommandLineA> ; [GetCommandLineA
{:5_184:}看API识CALL大概干了啥。我也是进去分析看到,一条一条度娘找的。
上图分析到有个要进入分析的。那就一起进去看看。
经过一个小时的逐个分析CALL,终于来到这里。得继续跟进。
再逐个向下分析,
执行到这里生成这串字符。话说,这字符也不是文件的MD5,这里请教懂的大神解释一下。@Shark恒
但是,这里并不适合PATH。因为此段有多处调用,而且不是每次都是往回这个字符。所以如果改此处程序运行不起来。
怎么办?手隐隐作痛!!!!
再往下跟跟看看情况。
这是从刚才的算法CALL出来后。第一处调用到这个可疑字符串的地方,而且多次试验,此处也只调用这个字符,所以适合下手。打算从这里开劈。
把逆向程序的字符串8888355399986619 对应的 38 38 38 38 33 35 35 33 39 39 39 38 36 36 31 39
修改成原程序字符串6027903001619077 对应的 36 30 32 37 39 30 33 30 30 31 36 31 39 30 37 37
这里,有必要说下我为什么知道修改的是EDX到EDX+C这个位置。看下图
程序执行到这里,读出EDX的值就是这个字串。
然后,我就逐一给改了。目前运行正常。
如果有更好的办法,还请教哈。
恩。就这样改法。保存,试试效果。
好了,能添加了,也不乱码了。群发信息也正常了。
至此,隐隐作痛的手终于把榴莲劈开了。
{:5_188:}{:5_188:}
很好,很细心! 吃水不忘打井人,给个评分懂感恩! 有趣这个榴莲教程楼主可谓是花了一片苦心才做成~ 高手了,你进步太快了,真牛呀,祝你发表更多的教程 我要当战神 发表于 2018-5-7 10:48
高手了,你进步太快了,真牛呀,祝你发表更多的教程
{:5_188:}分享,你会学得更快更多。{:5_188:} 谢谢分享!!! 喜欢这类有内涵的教程 看看大牛解答。 感谢分享