标题:
用OllyDBG破解《Quick Batch File Compiler》加密的批处理
[打印本页]
作者:
HAT
时间:
2008-10-8 04:13
标题:
用OllyDBG破解《Quick Batch File Compiler》加密的批处理
CN-DOS不乏OllyDBG高人,我作为一个初学者,给有兴趣的朋友分享一下自学收获吧。如有不当之处,敬请高人斧正。
这是一个经过《Quick Batch File Compiler 3.1.5.exe》加密的批处理:
http://rthost.fam.cx/cndos-up/img/875.zip
解压后的可执行文件名为CN-DOS.exe
尝试用OllyDBG"破解"了一下,方法如下:
1. 用OllyDBG打开CN-DOS.exe
2. 在OllyDBG的"反汇编"区域单击鼠标右键->"搜索"->"当前模块中的名称(标签)"
3. 在弹出的搜索窗口中右键单击"CreateProcessA"所在行->"在每个参考上设置断点"->关闭该搜索窗口
4. 按F9键开始运行,到第一个断点处自动停止,在这里就能看到释放出来的批处理放在什么地方啦。此时批处理尚未被调用,所以我们大可不必担心批处理中可能存在的"危险性"代码给系统带来损害。注,释放出来的批处理文件加了隐藏属性。
相关帖子:用OllyDBG破解《批处理潜行者V5.0》加密的批处理
http://www.cn-dos.net/forum/viewthread.php?tid=43499
作者:
wangweihebtu
时间:
2008-10-8 06:58
呵呵-原来还可以这样-
我一般用程序监视他的创建-然后拦截下来就OK了
作者:
HAT
时间:
2008-10-8 07:16
标题:
Re 2楼
愿闻其详,能否讲解一下你用的软件和具体步骤?
作者:
ZJHJ
时间:
2008-10-8 20:34
用 procmon.exe也能查到释放地,但是不是CN-DOS.exe释放的*.bat删除的太快
我未能拷贝到代码
作者:
HAT
时间:
2008-10-9 01:55
标题:
Re 4楼
procmon.exe和filemon.exe应该都可以,你可以先映像劫持一下cmd.exe,参考:
http://www.cn-dos.net/forum/viewthread.php?tid=43057
作者:
ktv98
时间:
2008-10-25 15:22
佩服.好厉害的工具
作者:
dslz666
时间:
2008-10-27 15:20
厉害。学习了,偶也用OD破一个加密的EXE试试
作者:
zqjiang
时间:
2008-11-23 20:32
楼主太厉害了 其他的程序是不是 也是选CreateProcessA
作者:
HAT
时间:
2008-11-23 20:38
标题:
Re 8楼
具体问题具体分析吧。
如果想深入学习OllyDBG,可以到看雪论坛看看教程和高人们的讨论。
作者:
luckboy45
时间:
2008-11-23 21:09
呵呵,其实HAT兄,完全可以装个SSM系统防火墙,每一步BAT执行的命令都可以看到,并提示是否允许的,这个东西比较强大.
作者:
kioskboy
时间:
2008-11-26 23:10
犀利!
作者:
haolongo
时间:
2009-2-14 16:46
谢谢版主,你这方法不行,但让我想到了另一方法。现在破解了。谢谢版主
作者:
HAT
时间:
2009-2-14 16:57
标题:
Re 12楼
请先检查一下你的exe是不是用Quick Batch File Compiler转换的
如果是其它软件转换的,可参考:
用OllyDBG破解《批处理潜行者V5.0》加密的批处理
http://www.cn-dos.net/forum/viewthread.php?tid=43499
《批处理潜行者V5.0》加密的批处理之"破解"方法
http://www.cn-dos.net/forum/viewthread.php?tid=43057
作者:
knoppix7
时间:
2009-2-15 12:10
貌似一般都是工具包之类的BAT加密吧.....
直接用他的Set /p 命令进行命令注入就完事了....
作者:
chujiafu
时间:
2009-2-24 19:47
Quote:
Originally posted by
knoppix7
at 2009-2-15 12:10 PM:
貌似一般都是工具包之类的BAT加密吧.....
直接用他的Set /p 命令进行命令注入就完事了....
请说得详细些,好吗?谢谢。
作者:
HAT
时间:
2009-2-24 21:55
标题:
Re 15楼
他的意思应该修改注册表吧
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun
作者:
zhoumeng
时间:
2009-2-25 11:11
http://www.cn-dos.net/forum/view ... id=I46VRy#pid323996
命令也能注入,具体怎么弄
作者:
HAT
时间:
2009-2-25 12:58
标题:
Re 16楼
你可以试试16楼提到的注册表项有啥作用
然后就知道具体怎么弄了
作者:
loquat
时间:
2009-8-31 08:33
好复杂,我直接用winhex打开,直接可以copy原始的bat代码出来。。。
欢迎光临 中国DOS联盟论坛 (http://cndos.fam.cx/forum/)
Powered by Discuz! 2.5