[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖

解开<批处理潜行者>的秘密, 让我们自己也写一个潜行者

本帖最后由 gfwlxx 于 2013-6-26 03:14 编辑

在整理电脑中文件, 翻到了一些控制台工具,
我整理文件的方法是: 全部重写,然后把代码保存到我的类库中! 写一个删一个,
控制台的小程序一点技术含量都没有 我花了几个小时, 我已经把WinEggDrop的所有控制台程序集都重写了一边, 然后都删除了

现在翻到 <命令行第三方汇总.rar> 这个文件, 是从这个论坛下的,
一些没有任何技术含量的工具, 最下面开始数是 <批处理潜行者>, 这个文件用了点隐藏的技术 顺便就发个帖出来
有5.0, 6.0 两个版本, 拿6.0来开刀
------------------------------------------------
批处理潜行者 分析:

方法1:  简单文件分析法
a. 生成
生成的时侯会观察到会生成这个文件:
c:\Program Files\1kTempe.dll
有兴趣的可以追中一下
b.hex
你可以看到它会把批处理附加到文件尾

c.运行
发现 会创建 C:\CSK.DLL
关键在后面: "C:\Program Files\Common Files\1kTemps.bat"    // 最后潜行的批处理会出现在这里
注: 批处理内容为 echo %0 & pasue - 呵呵, 最后那个创建的地方, 用文件监视器是追踪不到的.

-----------------------------------------
2.逆向分析, 自己编写:
程序大家可以从 - 命令行第三方汇总.rar 下载

a.脱壳
加壳强壳, ASProtect,
难不倒我, 三下五除二, 可以追踪到OEP是 00297000, od脱壳之 然后修复一下输入表

可以看到程序是用delphi写de : Borland Delphi 6.0 - 7.0

b.强奸



从脱壳的文件中提取而来五个head文件,
其中head3为批处理文件, 转换为明码后

他使用了unicode方式的, 转换后为
&cls
@if not exist "%~f1" (@echo File doesn't exist!&@goto :eof) else (echo exit|cmd /kprompt e100 FF FE 20 26 63 6C 73 0D 0A $_rcx$_9$_n t12.5$_w$_q$_|debug>nul&&@copy t12.5+"%~f1" "%~dpn1"_jm.bat>nul&&echo Successful!&del t12.5)
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
1

评分人数

怎样才能成为至尊VIP

TOP

牛人。。。
进步怎么这么慢呢?

TOP

返回列表