24小时热门版块排行榜

汕头大学海洋科学接受调剂

返回列表

当前主题已经存档。

sdlj8051

金虫 (著名写手)

应助: 0 (幼儿园)
贵宾: 0.1
金币: 1149.8
红花: 3
帖子: 2254
在线: 18.1小时
虫号: 71297
注册: 2005-05-30
专业: 电路与系统

[交流] [转贴]揭Security Folder的底

目标：Security Folder 1.42

工具：OD，PEID， IMPREC， LORDPE， DEPENDENCE

任务：1，解决软件使用口令。  2，戳破谎言，侦察其保护文件方法。

行动：
1，大概了解。
  引用下该文件说明 “Security Folder采用了与此不同的全新的方法，我认为该方法比上面两种方法显然效果更好。如果没有登陆软件，即使对电脑硬盘进行全面搜索，也无法搜索到所创建的文件夹及其内容。一般的人是根本无法破解的。”  当然了，最后我们会看到它的真面目。使用方法略，看帮助。

2，脱壳。
首先，用peid侦察下，发现是aspack212的壳（用peid查只是做的到心里有数）
OD载入，顺利得到oep为14c4（简单壳，代码略）。

用IMPREC对import进行修复，得到1.15m大小的脱壳后程序x.exe（起名是个人爱好）

运行x，出错了，弹出“无法定位程序输入点 RtlRestroreLastWin32Error 于动态连接库 kernel32.dll 上。”，这句话可能大家经常遇到，下面我们来进行手工修复。在x上单击右键选择 View Dependenice（当然假定你装了vc）就是用DEPENDECNCE打开x，这里可以看到引入的dll，发现有2个dll变红，kernel32和oleaut32，这说明，import里对这两个dll的函数可能有错，点击发红的dll，在右上栏中寻找RtlRestoreLastWin32Error，果然，前边的i字母变红，表示有错误，当然有错误了，因为该函数根本就不在kernel32中嘛，他在ntdll里，当然了我们在oleaut32里也找到2个出错函数分别是hint为0x00b的VariantC和hint为0x000的一个未知函数，注意hint值是关键分别在2个dll的导出表（右下）查出错函数的hint，结果RtlRestoreLastWin32Error对应的是SetFileAttributesW，VariantC对应的是VariantCopyInd，至于那个未知，先不用管，因为lordpe查出它根本不占位置，估计imprec的错吧，接着，就打开lordpe对其进行修复，替换为正确的函数，有个小插曲就是VariantCopyInd比VariantC长，改变不了函数，我们索性把它和hint为0的那个函数一起删掉，希望不影响什么功能！运行，ok。

脱壳总结：壳到容易脱，修复到是费了我点时间，至于为什么会出错，对于RtlRestoreLastWin32Error来说，我猜想是kernel32的版本问题，98或me下的朋友可以查一下hint0x306是什么，对于VariantC我认为是import表太小的原因，有可能是imprec修复的时候出的错，因为根本就没有VariantC这个函数。

3，破解口令。
我们先运行软件，随便输入密码，哈哈，太好了，有出错提示，这样就有突破口了，用w32dasm载入，我们主要用它的字符串查找，因为OD对中文支持不太好。“密码错误！你没有登陆本软件的权限！”就是它，双击
:0040A095 BA02000000             mov edx, 00000002
:0040A09A E8710F0B00             call 004BB010
:0040A09F 59                   pop ecx
:0040A0A0 84C9                   test cl, cl       //关键比较
:0040A0A2 7425                   je 0040A0C9       //关键跳
:0040A0A4 6A40                   push 00000040

* Possible StringData Ref from Data Obj ->"登录"
                              |
:0040A0A6 B90D194C00             mov ecx, 004C190D

* Possible StringData Ref from Data Obj ->"密码错误!
你没有登录本软件的权限!"
                              |
:0040A0AB BAEB184C00             mov edx, 004C18EB    //来到这
呵呵，理论上把je改成jne就爆破了，但是我们不知足，需要找出密码，进而写出看密码器。但是我们今天主要任务是搞清它是怎样隐藏文件的，看清他的嘴脸，所以，这步我们推后！

4，窥视其保护方法。
根据其帮助，大概意思就是可以“创建一个使别人发现不了的安全文件夹”，注意引号，提取下就是创建文件夹！CreateDirectoryA！就是它，下断！跑起软件，随便创建一个安全文件夹，yeah！感谢上帝，感谢od，看下他的参数，一目了然，所谓的安全文件夹居然是……
0012FC28 00E338FC  |Path = "C:\recycled\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ 　\　\ALL"
由于软件的无耻，使的这重要的一环到此结束！真相大白了！

总结：没什么好说的了！

5，解决3的残留问题，写看密码器。
在其所谓安全文件夹里发现一个ps.ini的文件，大家可以自己看，其中ps的值不知道什么意思，尝试改变密码后发现有变，相信它就是加密过的密码！
对于ini文件，GetPrivateProfileStringA是个不错的断点，果然，断下来了，
后边就是密码的还原，简单算法，不说了，给出看密码的东东
#include
#include

void main()
{
  char  s[10];
  GetPrivateProfileString("SFolder", "PS", "0", s, 10, "C:\\recycled\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ 　\\　\\ps\\ps.ini"

;

  for(int i=0; i<10, s!=0x00; i++)
  {
s+=(i+1);
  }
  cout< }

[ Last edited by sdlj8051 on 2006-10-6 at 11:34 ]

回复此楼

» 猜你喜欢

化工学硕294分，求导师收留已经有29人回复
求调剂已经有10人回复
考研求调剂已经有13人回复
求调剂已经有3人回复
人工智能320调剂08工类还有机会吗已经有17人回复
考研英一数一338分已经有10人回复
求助调剂，跨调已经有15人回复
085600材料与化工329分求调剂已经有20人回复
085600材料与化工349分求调剂已经有15人回复
求调剂已经有13人回复

1楼 2006-08-23 15:39:19

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 sdlj8051 的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 332求调剂 +15	蕉蕉123 2026-04-10	15/750	2026-04-13 23:12 by pies112
[考研] 08工学 309分求调剂 +7	Yin DY 2026-04-08	7/350	2026-04-13 22:50 by pies112
[考研] 各位老师好，求调剂，本科211，一志愿天津大学生物与医药学硕，差两名录取。 +9	路六六jjj 2026-04-13	9/450	2026-04-13 22:49 by pies112
[考研] 293求调剂 +16	我爱高数高数爱� 2026-04-12	18/900	2026-04-13 21:47 by 学员JpLReM
[考研] 求调剂288 +7	ioodiiij 2026-04-10	9/450	2026-04-13 08:33 by Hayaay
[考研] 一志愿0807 数一英一 313 有没有二轮调剂 +12	emokidd 2026-04-08	13/650	2026-04-13 08:32 by lhj2009
[考研] 。 +10	李多米lee. 2026-04-12	11/550	2026-04-12 22:58 by yuyin1233
[考研] 2本，初试303，0860求调剂 +6	floriea 2026-04-12	8/400	2026-04-12 18:13 by zhouxiaoyu
[考研] 药学专硕调剂 +8	? 一路生?花? 2026-04-10	10/500	2026-04-11 21:21 by zhouxiaoyu
[考研] 调剂求助 +6	果然有我 2026-04-11	7/350	2026-04-11 16:22 by 明月此时有
[考研] 283求调剂 +22	那个噜子 2026-04-09	22/1100	2026-04-11 10:41 by 逆水乘风
[考研] 085402通信工程调剂，有4项学科竞赛国奖（电赛国二），硕士研究生调剂自荐信。 +5	m永o不v言o弃m 2026-04-09	5/250	2026-04-11 09:33 by zhq0425
[考研] 考研调剂 +26	硕星赴 2026-04-09	27/1350	2026-04-10 22:24 by 猪会飞
[考研] 296求调剂 +6	汪！？！ 2026-04-08	6/300	2026-04-10 11:02 by mattzhming
[考研] 材料化工总分334求调剂 +16	Riot2025 2026-04-08	17/850	2026-04-09 20:19 by maddjdld
[考研] 一志愿武理车辆 281 求调剂 +5	上岸研究生. 2026-04-07	5/250	2026-04-09 15:56 by only周
[考研] 085801 总分275 本科新能源求调剂 +8	bradoner 2026-04-08	9/450	2026-04-09 13:43 by only周
[考研] 334求调剂 +16	Riot2025 2026-04-08	17/850	2026-04-09 09:28 by wdyheheeh
[考研] 296求调剂 +3	汪！？！ 2026-04-08	3/150	2026-04-08 22:00 by zhouyuwinner
[考研] 求调剂 +11	wwwwabcde 2026-04-07	11/550	2026-04-07 23:16 by JourneyLucky