目前分類:ASM (15)
- Dec 20 Sat 2014 00:39
Ollydbg相關
- Nov 11 Tue 2014 20:03
CRC轉ICS(1)
| 來騙一下血幣 分享CRC轉ICS的經驗、方法 TMS_v150.2 接觸這塊領域也才短短一個月,僅能提供一些小小的心得供大家參考 洋蔥大網誌裡的"楓之谷更新必備"那區及各種舊的代碼 是我最開始學習、參考的地方 大家可以先拜讀一下 收獲應該會不少^^ http://knowlet3389.blogspot.tw/ 排版方面我不太在行,可能會寫得有些亂,請見諒^^" 我自己覺得需要的能力: ★★★★★ 邏輯 ★★★★ 程式語法的了解 ★★★★ 耐心、毅力 ★★★ 查找資料 ★★★ 經驗 ★ 組合語言 所需工具:UCE、有CRCbypass佳 -------------------------------------------------------- 一、要先有CRC代碼 -------------------------------------------------------- 首先就從 物理無敵CRC 開始說起吧,這應該是數據界的HelloWorld!!! 最簡短的CRC版 [Enable] 00615994: DB 75 //短程jne跳躍 [Disable] 00615994: DB 74 //短程je跳躍 常見版本2 [Enable] 00615994: jne 006159A2 // DB 75 0E 83 4D FC FF [Disable] 00615994: je 006159A2 // DB 74 0E 83 4D FC FF 從aob可以看出以上兩個數據是等價的 -------------------------------------------------------- 二、找call dword ptr -------------------------------------------------------- 而要如何從CRC轉成ICS 基本上需要有3個地址 (1) ptr基址 (2) 被hook函數地址 (3) call的反回地址 基本形式如: Addr_0 call dword ptr [Addr_1] : [Addr_2] Addr_3 ***any code*** (1)=Addr_1 (2)=Addr_2 (3)=Addr_3 一般來說只要"往前"找到call dword ptr,(3)便可知 至於(1)、(2)通常都要用一些手段來得到 這數據往前多看兩行,就發現了!! 0061598C - FF 15 8C5EE200 - call dword ptr [00E25E8C] : [IsRectEmpty] 00615992 - 85 C0 - test eax,eax 00615994 - 74 0E - je 006159A4 感謝Inndy大大指點,winapi還是用函數名比較好XD ps.758D0903 = IsRectEmpty,函數名本身即代表起始地址,用哪個都可以 這是最幸運的情況,3個願望一次滿足 (1)=Addr_1=00E25E8C (2)=Addr_2=IsRectEmpty (3)=Addr_3=00615992 -------------------------------------------------------- 三、改寫 -------------------------------------------------------- 3個地址都有了,那麼該如何改寫成ICS呢? 基本形如下: CheckEsp:自定函數名 Size:大小 FunName:自定標籤名 [Enable] Alloc(CheckEsp,Size) Label(FunName) CheckEsp: cmp [esp],Addr_3 //看返回地點是不是我們要的 jne Addr_2 //不是則跳回原函數 mov [esp],FunName //將反迴值改成自己的函數 jmp Addr_2 //改變反迴值後一樣跳回原函數 FunName: ***copy code*** //把 [call dword ptr 下一行] 到 [je 006159A4] 之間的code複製過來 jne 006159A2 //從crc [enable]中copy過來 Addr_1: DD CheckEsp [Disable] Addr_1: DD Addr_2 DeAlloc(CheckEsp) -------------------------------------------------------- 成果如下 [Enable] Alloc(CheckEsp,32) Label(PGod) CheckEsp: cmp [esp],00615992 jne IsRectEmpty mov [esp],PGod jmp IsRectEmpty PGod: test eax,eax jne 006159A2 00E25E8C: DD CheckEsp [Disable] 00E25E8C: DD IsRectEmpty DeAlloc(CheckEsp) 理解程式碼後可再自行縮減精簡代碼 |
評分次數
- Nov 11 Tue 2014 18:58
UCE數據進階
| 標籤: Label(*) 效用: 如果你只是一個片段的功能的話,就不必用到註冊名稱的方式,用標籤即可, 標籤就是意指"需要時,只經過一次"且不具有記憶性,此特點請記住。 米字號請改為自己想要的label程式名稱 -------------------------------------------------------------------------------- 叫出: call * 效用: 叫出某段資料,且可以繼續讀下去底下的資料 (此段要介紹較麻煩些,用範例介紹) 範例: ※此段介紹到"dd",程式底下加上"dd"後面接上數字,等於這個程式管理著這個數字的意思。 ※je=上面的比對相同時,跳躍至je後面寫的那個程式(可參考此篇--cmp的使用) h: dd 0 XD: //XD此程式 call XD01 //調出XD01內的所有資料 jmp **** //****必為功能位置、程式(自己設定的程式)、或是還原位置,不然可能會斷線。 XD01: cmp [h],1 je **** //跟上面那個米字號一樣意思,某個功能,還原位置 ret //這就是我要強調的了XD,如果沒有這個接在最後,就會斷線(底下沒有跳躍位置就會斷線), ret=跳回去程式繼續執行 上面這個程式,又同等於底下這個範例(兩個是相同意思的): 範例2: h: dd 0 XD: cmp [h],1 je **** jmp **** -------------------------------------------------------------------------------- 集合以上所學的,可這樣完成出熱鍵版本的隱身功能。 //------------------------------------------------------------------ //名稱:隱身熱鍵版本 // //Address:004DFBA9 //EIP:XD //------------------------------------------------------------------ [enable] Registersymbol(h) Alloc(h, 4) Registersymbol(XD) Alloc(XD, 32) Label(stop) h: dd 1 XD: cmp [h],0 //比對完之後,如果相同,就跳躍至004dfbaf je 004DFBAF stop: jmp 004DFBAB //因為XD程式沒有jmp,所以當h=1的時候,就會讀到此行 [disable] Unregistersymbol(h) dealloc(h) Unregistersymbol(XD) dealloc(XD) |
- Nov 11 Tue 2014 18:57
dec add inc sub
| DEC、INC、ADD、SUB (一直減少、一直增加、增加、減少)的使用 -------------------------------------------------------------------------------- 1.sub(減去)、add(加上)的使用 ※本篇數字暫時以10進位替代,如果寫成數據的時候,記得改為16進位哦!程式只看的懂16進位~ 一樣一個範例解決你的問題^^ A: dd 3001 B: dd 1 XD: //XD這個程式 sub A,3000 //拿A減去3000 mov eax,A //此時把A(剛剛減去3000後,只剩下1了)推入到eax暫存器 add [B],eax //把eax的數字,加入到B裡面 這個時候,B程式就會從dd 1 →變成dd 2 ((B程式本身有1加上A程式剩下的1 一共是2)) -------------------------------------------------------------------------------- 用法總記: add [B],1 //只要程式讀到這行,就會增加B這個程式的數字增加1囉 sub [B],1 //只要程式讀到這行,就會自動減少B這個程式的數字1囉! ※之後,程式只要讀到XD這個程式,就會自動再做一次這個加減法動作囉 -------------------------------------------------------------------------------- 2.inc(一元增加)、dec(一元減少)的使用 首先,一樣跟上面舉例: XD: inc [A] //後面不用逗點寫上數字 ※程式只要讀取過這行,就會不停的把這個程式的數字增加1 XD: dec [A] //一樣不必逗點+數字 ※程式只要讀取過這行,就會不停的把這個程式的數字減少1 -------------------------------------------------------------------------------- Q&A -------------------------------------------------------------------------------- ★那..add 跟 inc 有什麼不同呢? 回答: 其實呢,不同的地方就在於add讀取過只會增加"一次"(就是增加你的逗點後面的數字一次),但是呢,inc讀取過,就會不停的增加程式,增加程式"1",inc可以說是跟簡便的變數器吧^^ |
- Nov 11 Tue 2014 18:55
CMP使用
| …………………………………………………………………………………………………………………………… CMP(比較)的使用 …………………………………………………………………………………………………………………………… ﹟dd x =那個程式掌握一個數字為"x" ﹟abcde: →只要一個英文(或數字+英文)後面加上":" 就成立為asm讀取的一個程式 ----------------------------------------------------------------------- A: dd 0 B: dd 1 cmp A,B jg C ----------------- 以上此段就是拿A跟B做比較,如果把整段數據白話來翻譯,就是: A的數字為0,B的數字為1,現在拿A跟B比較,若A大於B(jg就是大於的意思)則跳入程式C ※jg底下做介紹 ----------------- JG?J系列 ja、jg 大於 jb、jl 小於 je 等於 jne 不等於 jbe 大於等於 jle 小於等於 這些!很重要哦~~~程式做比較時,常常需要,是必備之物,請務必記清楚 …………………………………………………………………………………………………………………………… 原文:http://www.wretch.cc/blog/aaaddressxd/27520422 作者aaaddress1敬上 |
- Nov 11 Tue 2014 18:53
組語指令集
| 它們在存貯器和寄存器、寄存器和輸入輸出端口之間傳送數據. 1. 通用數據傳送指令. MOV 傳送字或字節. MOVSX 先符號擴展,再傳送. MOVZX 先零擴展,再傳送. PUSH 把字壓入堆棧. POP 把字彈出堆棧. PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次壓入堆棧. POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次彈出堆棧. PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次壓入堆棧. POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次彈出堆棧. BSWAP 交換32位寄存器裡字節的順序 XCHG 交換字或字節.( 至少有一個操作數為寄存器,段寄存器不可作為操作數) CMPXCHG 比較並交換操作數.( 第二個操作數必須為累加器AL/AX/EAX ) XADD 先交換再累加.( 結果在第一個操作數裡 ) XLAT 字節查表轉換. ── BX 指向一張 256 字節的表的起點, AL 為表的索引值 (0-255,即 0-FFH); 返回 AL 為查表結果. ( [BX+AL]->AL ) 2. 輸入輸出端口傳送指令. IN I/O端口輸入. ( 語法: IN 累加器, {端口號│DX} ) OUT I/O端口輸出. ( 語法: OUT {端口號│DX},累加器 ) 輸入輸出端口由立即方式指定時, 其范圍是 0-255; 由寄存器 DX 指定時, 其范圍是 0-65535. 3. 目的地址傳送指令. LEA 裝入有效地址. 例: LEA DX,string ;把偏移地址存到DX. LDS 傳送目標指針,把指針內容裝入DS. 例: LDS SI,string ;把段地址:偏移地址存到DS:SI. LES 傳送目標指針,把指針內容裝入ES. 例: LES DI,string ;把段地址:偏移地址存到ES:DI. LFS 傳送目標指針,把指針內容裝入FS. 例: LFS DI,string ;把段地址:偏移地址存到FS:DI. LGS 傳送目標指針,把指針內容裝入GS. 例: LGS DI,string ;把段地址:偏移地址存到GS:DI. LSS 傳送目標指針,把指針內容裝入SS. 例: LSS DI,string ;把段地址:偏移地址存到SS:DI. 4. 標志傳送指令. LAHF 標志寄存器傳送,把標志裝入AH. SAHF 標志寄存器傳送,把AH內容裝入標志寄存器. PUSHF 標志入棧. POPF 標志出棧. PUSHD 32位標志入棧. POPD 32位標志出棧. 二、算術運算指令 ─────────────────────────────────────── ADD 加法. ADC 帶進位加法. INC 加 1. AAA 加法的ASCII碼調整. DAA 加法的十進制調整. SUB 減法. SBB 帶借位減法. DEC 減 1. NEC 求反(以 0 減之). CMP 比較.(兩操作數作減法,僅修改標志位,不回送結果). AAS 減法的ASCII碼調整. DAS 減法的十進制調整. MUL 無符號乘法. IMUL 整數乘法. 以上兩條,結果回送AH和AL(字節運算),或DX和AX(字運算), AAM 乘法的ASCII碼調整. DIV 無符號除法. IDIV 整數除法. 以上兩條,結果回送: 商回送AL,餘數回送AH, (字節運算); 或 商回送AX,餘數回送DX, (字運算). AAD 除法的ASCII碼調整. CBW 字節轉換為字. (把AL中字節的符號擴展到AH中去) CWD 字轉換為雙字. (把AX中的字的符號擴展到DX中去) CWDE 字轉換為雙字. (把AX中的字符號擴展到EAX中去) CDQ 雙字擴展. (把EAX中的字的符號擴展到EDX中去) 三、邏輯運算指令 ─────────────────────────────────────── AND 與運算. OR 或運算. XOR 異或運算. NOT 取反. TEST 測試.(兩操作數作與運算,僅修改標志位,不回送結果). SHL 邏輯左移. SAL 算術左移.(=SHL) SHR 邏輯右移. SAR 算術右移.(=SHR) ROL 循環左移. ROR 循環右移. RCL 通過進位的循環左移. RCR 通過進位的循環右移. 以上八種移位指令,其移位次數可達255次. 移位一次時, 可直接用操作碼. 如 SHL AX,1. 移位>1次時, 則由寄存器CL給出移位次數. 如 MOV CL,04 SHL AX,CL 四、串指令 ─────────────────────────────────────── DS:SI 源串段寄存器 :源串變址. ES:DI 目標串段寄存器:目標串變址. CX 重復次數計數器. AL/AX 掃描值. D標志 0表示重復操作中SI和DI應自動增量; 1表示應自動減量. Z標志 用來控制掃描或比較操作的結束. MOVS 串傳送. ( MOVSB 傳送字符. MOVSW 傳送字. MOVSD 傳送雙字. ) CMPS 串比較. ( CMPSB 比較字符. CMPSW 比較字. ) SCAS 串掃描. 把AL或AX的內容與目標串作比較,比較結果反映在標志位. LODS 裝入串. 把源串中的元素(字或字節)逐一裝入AL或AX中. ( LODSB 傳送字符. LODSW 傳送字. LODSD 傳送雙字. ) STOS 保存串. 是LODS的逆過程. REP 當CX/ECX<>0時重復. REPE/REPZ 當ZF=1或比較結果相等,且CX/ECX<>0時重復. REPNE/REPNZ 當ZF=0或比較結果不相等,且CX/ECX<>0時重復. REPC 當CF=1且CX/ECX<>0時重復. REPNC 當CF=0且CX/ECX<>0時重復. 五、程序轉移指令 ─────────────────────────────────────── 1>無條件轉移指令 (長轉移) JMP 無條件轉移指令 CALL 過程調用 RET/RETF過程返回. 2>條件轉移指令 (短轉移,-128到+127的距離內) ( 當且僅當(SF XOR OF)=1時,OP1<OP2 ) JA/JNBE 不小於或不等於時轉移. JAE/JNB 大於或等於轉移. JB/JNAE 小於轉移. JBE/JNA 小於或等於轉移. 以上四條,測試無符號整數運算的結果(標志C和Z). JG/JNLE 大於轉移. JGE/JNL 大於或等於轉移. JL/JNGE 小於轉移. JLE/JNG 小於或等於轉移. 以上四條,測試帶符號整數運算的結果(標志S,O和Z). JE/JZ 等於轉移. JNE/JNZ 不等於時轉移. JC 有進位時轉移. JNC 無進位時轉移. JNO 不溢出時轉移. JNP/JPO 奇偶性為奇數時轉移. JNS 符號位為 "0" 時轉移. JO 溢出轉移. JP/JPE 奇偶性為偶數時轉移. JS 符號位為 "1" 時轉移. 3>循環控制指令(短轉移) LOOP CX不為零時循環. LOOPE/LOOPZ CX不為零且標志Z=1時循環. LOOPNE/LOOPNZ CX不為零且標志Z=0時循環. JCXZ CX為零時轉移. JECXZ ECX為零時轉移. 4>中斷指令 INT 中斷指令 INTO 溢出中斷 IRET 中斷返回 5>處理器控制指令 HLT 處理器暫停, 直到出現中斷或復位信號纔繼續. WAIT 當芯片引線TEST為高電平時使CPU進入等待狀態. ESC 轉換到外處理器. LOCK 封鎖總線. NOP 空操作. STC 置進位標志位. CLC 清進位標志位. CMC 進位標志取反. STD 置方向標志位. CLD 清方向標志位. STI 置中斷允許位. CLI 清中斷允許位. 六、偽指令 ─────────────────────────────────────── DW 定義字(2字節). PROC 定義過程. ENDP 過程結束. SEGMENT 定義段. ASSUME 建立段寄存器尋址. ENDS 段結束. END 程序結束. Alloc 分配記憶體 Registersymbol "變數名稱"可作為手工增加作為位址的標誌 Label 標籤 MOV 目的,來源 將來源資料複製到目的 MOVZX 目的,來源 將8bit的資料複製到目的變成16bit,即加倍bit後複製 MOVSX 目的,來源 同上,不過此為有負號的 XCHG 參數1,參數2 將參數1與參數2的內含值對調 PUSH 來源 將來源資料放入堆疊記憶體,即將來源放入SS:[SP-2]然後SP減2 POP 目的 從堆疊取出資料放入目的,即SP加2後取出SS:[SP-2]的資料放到目的 PUSHA PUSH ax,cx,dx,bx,sp,bp,si,di POPA POP di,si,bp,sp,bx,dx,cx,ax PUSHAD eax,ecx,edx,ebx,esp,ebp,esi,edi POPAD edi,esi,ebp,esp,ebx,edx,ecx,eax XLAT 取出DS:[BX+AL]放入AL LEA 暫存器,記憶體 讓暫存器指向指定的記憶體位址,此時暫存器的內容為該記憶體的位址 ,而非記憶體的內含值 LDS 暫存器,記憶體變數名 [記憶體]存到暫存器,[記憶體+2]存到DS LES 暫存器,記憶體變數名 [記憶體]存到暫存器,[記憶體+2]存到ES LSS 暫存器,記憶體變數名 [記憶體]存到暫存器,[記憶體+2]存到SS LFS 暫存器,記憶體變數名 [記憶體]存到暫存器,[記憶體+2]存到FS LGS 暫存器,記憶體變數名 [記憶體]存到暫存器,[記憶體+2]存到GS MOVSB,MOVSW,MOVSD 複製DS:[SI]至ES:[DI]單位為1/2/4 bytes,複製後SI及DI的值加1/2/4 CMPSB,CMPSW,CMPSD 比較DS:[SI]與ES:[DI]單位為1/2/4 bytes,比較後SI及DI的值加1/2/4 STOSB,STOSW,STOSD 複製DS:[SI]至AL/AX/EAX,複製後SI加1/2/4 SCASB,SCASW,SCASD 比較DS:[SI]與AL/AX/EAX,比較後SI加1/2/4 LODSB,LODSW,LODSD 複製DS:[SI]至AL/AX/EAX,複製後SI日1/2/4 ADD 目的,來源 目的=目的+來源 ACD 目的,來源 目的=目的+來源+C旗標 INC 運算元 運算元=運算元+1 SUB 目的,來源 目的=目的-來源 SBB 目的=目的-來源-C旗標 DEC 運算元=運算元-1 CMP 目的,來源 兩者比較,相當於目的減來源,但只回應至旗標 MUL 目的 AL/AX/EAX乘以目的,結果放至AX/DX:AX/EDX:EAX IMUL 目的 有號的AL/AX/EAX乘以有號的目的,結果放至AX/DX:AX/EDX:EAX IMUL 目的,來源 有號的來源乘以有號的目的,結果放至X/DX:AX/EDX:EAX IMUL 目的,來源,立即值 有號的來源乘以立即值,結果放至目的 DIV 來源 AX/DX:AX/EDX:EAX除以來源,商放入AL/AX/EAX,餘數放入AH/DX/EDX IDIV 有號的AX/DX:AX/EDX:EAX除以來源,商放入AL/AX/EAX,餘數放入/EDX AND 目的,來源 目的=目的 and 來源 OR 目的,來源 目的=目的 or 來源 XOR 目的,來源 目的=目的 xor 來源 TEST 目的,來源 會做與 and 相同的動作,但只回應至旗標 NOT 運算元 運算元=not 運算元 CLC 設 C 旗標=0 STC 設 C 旗標=1 CMC not C 旗標 CLD 設 D 旗標=0 STD 設 D 旗標=1 CLI 設 I 旗標=0 STI 設 I 旗標=1 JMP 位址 跳躍至指定位址 Jxx 位址 條件式跳躍 Je - 如果均等執行跳躍 Jne - 如果不相等執行跳躍 Jg - 如果大於執行跳躍 Jng - 如果不大於執行跳躍 Jl - 如果比較少執行跳躍 Jnl - 如果不是比較少執行跳躍 Jge - 如果大於或等於執行跳躍 Jle - 如果小於或等於執行跳躍 轉自浪漫月光... 這個背起來有用,若是自己想寫數據的話,這個可以讓你事半功倍。 各位,一起加油吧! |
- Nov 11 Tue 2014 18:49
API HOOK技術
註:以下文章非本人撰寫為中國大陸網路轉載文章,只做繁簡轉換整理。
來源:黑客基地 详谈HOOK API的技术
楓之谷數據 (1)
