木马PCView 2006[F.S.T]专版外壳脱壳加去除CRC
【作者大名】fobnn【作者邮箱】[email protected]
【作者主页】www.hack58.com
【使用工具】OD PEID LORDPE ImportREC1.42
【操作系统】Windows XP
【软件名称】PCView 2006专版
【下载地址】http://blog.sohu.com/members/PCViewrat
【软件大小】1.16M
【加壳方式】N.sPACK 3.x
【软件简介】
PCView是一款功能强大的远程控制软件,其采用反弹连接技术对客户机进行控制。其具特点如下:
(1)用户只需要一个固定的IP地址、动态域名或者一台FTP服务器,即可在任何时间、任何地点使用PCView随心所欲的对客户机进行网络管理。
(2)内建动态域名解析程序,更可以让您省去安装动态域名客户端解析程序的麻烦,让您轻轻松松解析、轻轻松松上
线。
(3)其自带的网络嗅探、协议嗅探、端口转发功能更是国内远程控制软件所罕见的。而其还带有视频监控、语音监控,更可以让您将您的计算机变成一台十足的 \"网络特警\"。您可以在您上班的时候,利用它查看您家里的动静。
【破解声明】我是一只小菜鸟,偶得一点心得,愿与大家分享:)
----------------------------------------------------------------------
【内容】
①。PEID查看敌情
Nothing found *晕死不知是啥壳.
②OD载入
0077AA59 P>9C pushfd ;OD停在这里,典型的北斗壳入口!
0077AA5A 60 pushad
0077AA5B E8 00000000 call PCView_2.0077AA60;F8单步到这,看看ESP值,我们下段hr esp回车,F9运行
0077AA60 5D pop ebp
0077AA61 83ED 07 sub ebp,7
0077AA64 8D85 9FF9FFFF lea eax,dword ptr ss:
0077AA6A 8038 01 cmp byte ptr ds:,1
0077AA6D 0F84 42020000 je PCView_2.0077ACB5
0077AA73 C600 01 mov byte ptr ds:,1
0077AA76 8BD5 mov edx,ebp
0077AA78 2B95 33F9FFFF sub edx,dword ptr ss:
0077AA7E 8995 33F9FFFF mov dword ptr ss:,edx
0077AA84 0195 63F9FFFF add dword ptr ss:,edx
0077AA8A 8DB5 A7F9FFFF lea esi,dword ptr ss:
0077AA90 0116 add dword ptr ds:,edx
0077AA92 60 pushad
0077AA93 6A 40 push 40
0077AA95 68 00100000 push 1000
0077AA9A 68 00100000 push 1000
0077AA9F 6A 00 push 0
0077AAA1 FF95 DBF9FFFF call dword ptr ss:
0077AAA7 85C0 test eax,eax
0077AAA9 0F84 6A030000 je PCView_2.0077AE19
0077AA5A 60 pushad
0077AA5B E8 00000000 call PCView_2.0077AA60
0077AA60 5D pop ebp
0077AA61 83ED 07 sub ebp,7
0077AA64 8D85 9FF9FFFF lea eax,dword ptr ss:
0077AA6A 8038 01 cmp byte ptr ds:,1
0077AA6D 0F84 42020000 je PCView_2.0077ACB5
0077AA73 C600 01 mov byte ptr ds:,1
0077AA76 8BD5 mov edx,ebp
0077AA78 2B95 33F9FFFF sub edx,dword ptr ss:
0077AA7E 8995 33F9FFFF mov dword ptr ss:,edx
0077AA84 0195 63F9FFFF add dword ptr ss:,edx
0077AA8A 8DB5 A7F9FFFF lea esi,dword ptr ss:
0077AA90 0116 add dword ptr ds:,edx
0077AA92 60 pushad
0077AA93 6A 40 push 40
0077AA95 68 00100000 push 1000
0077AA9A 68 00100000 push 1000
0077AA9F 6A 00 push 0
0077AAA1 FF95 DBF9FFFF call dword ptr ss:
0077AAA7 85C0 test eax,eax
0077AAA9 0F84 6A030000 je PCView_2.0077AE19
③
0077ACCA 9D popfd ;到这里断下,我们F8单步
0077ACCB - E9 1C9FE4FF jmp PCView_2.005C4BEC
0077ACD0 8BB5 2BF9FFFF mov esi,dword ptr ss:
0077ACD6 0BF6 or esi,esi
0077ACD8 0F84 97000000 je PCView_2.0077AD75
0077ACDE 8B95 33F9FFFF mov edx,dword ptr ss:
④
005C4BEC /.55 push ebp ;F8大约两步之后,到达OEP
005C4BED |.8BEC mov ebp,esp
005C4BEF |.83C4 F0 add esp,-10
005C4BF2 |.53 push ebx
005C4BF3 |.56 push esi
005C4BF4 |.57 push edi
005C4BF5 |.B8 B4435C00 mov eax,PCView_2.005C43B4
005C4BFA |.E8 D925E4FF call PCView_2.004071D8
005C4BFF |.A1 542C5D00 mov eax,dword ptr ds:
005C4C04 |.8B00 mov eax,dword ptr ds:
005C4C06 |.E8 4DC8F0FF call PCView_2.004D1458
005C4C0B |.A1 542C5D00 mov eax,dword ptr ds:
005C4C10 |.8B00 mov eax,dword ptr ds:
005C4C12 |.BA 6C4F5C00 mov edx,PCView_2.005C4F6C ;ASCII \"PCView 2006\"
005C4C17 |.E8 34C4F0FF call PCView_2.004D1050
005C4C1C |.33C9 xor ecx,ecx
005C4C1E |.B2 01 mov dl,1
005C4C20 |.A1 58405C00 mov eax,dword ptr ds:
005C4C25 |.E8 8E4FF0FF call PCView_2.004C9BB8
005C4C2A |.8B15 402A5D00 mov edx,dword ptr ds: ;PCView_2.005D7E08
005C4C30 |.8902 mov dword ptr ds:,eax
⑤
dump,fix
----------------------------------------------------------------------
【总结】
脱壳后程序无法运行程序有自校验,很简单,我就不跟了。
直接给出Patch
44c5d5 je short 0044C637 ;44c5d5 jmp short 0044C637
BY:fobnn QQ:380838221 2006.1.8 17:36
--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢! 学习了!!!! 不错。学习的说。 希望LZ把定位到自校验的步骤也仔细说下~THX
页:
[1]