QQ登录

只需一步,快速开始

搜索
查看: 4885|回复: 16

[原创] 送注册宝最后一程 -- CJ壳抽取代码脚本还原

[复制链接]

257

积分

25

主题

1

精华

专家团

Rank: 7Rank: 7Rank: 7

违规
0 点
JmPoint
12820 点
声望
30 点
赏金币
90 枚
发单信誉
0
接单信誉
0
注册时间
2015-8-7
最后登录
2018-8-5
在线时间
697 小时
发表于 2017-3-11 17:58:04 | 显示全部楼层 |阅读模式
送注册宝最后一程 -- CJ壳抽取代码脚本还原
                                                                        -- _BaZzi

CJ壳的原理是抽取代码 正常登录后调用解密 未登录或登录的软件编号不是加壳时设置的则崩溃
登录成功后CJ壳会在调用时把真正的代码放到堆(Heap)中 用异常来跳入和跳出被抽取的代码
用到的异常处理是VEH 可以在VEH段尾下端 从CONTEXT中获取将要执行的代码地址
剩下具体看脚本 CJ_Rebuilder.osc

由于被抽取代码是登录后执行前解密 所以脚本的时机也要找好
例子中登录后就需要执行被抽取的代码 所以最好的时机是在登录刚完成

脚本执行完成后会生成 CJ_Dump_XXXXXX_XXX.bin 第一个XXX是被抽取代码的原始地址 第二个XXX是大小
接下来编写补丁 登录后补回被抽取的代码

例子是免注册模块写的 补丁如果失效了 尝试自己手动把DLL注册一下
模块修改自QqWsFpY的COMHOOK





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即加入

x

评分

参与人数 6JmPoint +15 声望 +1 收起 理由
caodedong + 1 这贴很给力,我只想说三十六个赞!.
Can + 1 膜拜靶子师傅
拓海真一 + 10 + 1 零日安全有你更精彩。
Black + 1 良心贴,前排支持!!!!!
小小小青年 + 1 零日安全有你更精彩。
匿名者i + 1 这贴很给力,我只想说三十六个赞!.

查看全部评分

回复

使用道具 举报

51

积分

3

主题

0

精华

正式会员

Rank: 1

违规
0 点
JmPoint
173 点
声望
10 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-1-25
最后登录
2018-7-18
在线时间
39 小时
发表于 2017-3-11 18:00:17 | 显示全部楼层
oh it's good boy♂next♂door♂
回复 支持 反对

使用道具 举报

579

积分

153

主题

1

精华

技术专家

Rank: 6Rank: 6

违规
0 点
JmPoint
6154 点
声望
11 点
赏金币
0 枚
发单信誉
0
接单信誉
1
注册时间
2015-9-19
最后登录
2018-10-17
在线时间
3743 小时
发表于 2017-3-11 18:03:49 | 显示全部楼层
膜拜我_BaZzi师父  
回复 支持 反对

使用道具 举报

91

积分

8

主题

0

精华

正式会员

Rank: 1

违规
0 点
JmPoint
7206 点
声望
11 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-26
最后登录
2018-10-17
在线时间
427 小时
发表于 2017-3-11 19:02:13 | 显示全部楼层

膜拜我_BaZzi师父  
用 一 辈 子 体 验 生 命 这 个 过 程..
回复 支持 反对

使用道具 举报

13

积分

2

主题

0

精华

普通会员

违规
0 点
JmPoint
387 点
声望
1 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-5-27
最后登录
2018-10-15
在线时间
55 小时
发表于 2017-3-11 19:07:04 | 显示全部楼层
膜拜还原的!大师傅666
回复 支持 反对

使用道具 举报

160

积分

34

主题

0

精华

坛主

看撒子,我潜水的

Rank: 9Rank: 9Rank: 9

违规
0 点
JmPoint
4216 点
声望
10 点
赏金币
450 枚
发单信誉
0
接单信誉
3
注册时间
2015-7-26
最后登录
2018-10-10
在线时间
520 小时
发表于 2017-3-11 19:42:59 | 显示全部楼层
靶子师傅流弊
回复 支持 反对

使用道具 举报

66

积分

6

主题

0

精华

正式会员

Rank: 1

违规
0 点
JmPoint
1113 点
声望
10 点
赏金币
0 枚
发单信誉
0
接单信誉
2
注册时间
2016-2-23
最后登录
2018-10-18
在线时间
301 小时
发表于 2017-3-11 19:48:21 | 显示全部楼层
膜拜我师傅 灭了注册宝
I am 真丶
回复 支持 反对

使用道具 举报

58

积分

4

主题

0

精华

正式会员

Rank: 1

违规
0 点
JmPoint
97 点
声望
10 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-27
最后登录
2018-10-13
在线时间
132 小时
发表于 2017-3-11 21:25:28 | 显示全部楼层
膜拜我_BaZzi师父    万分感激能出视频教程的大牛
回复 支持 反对

使用道具 举报

254

积分

26

主题

1

精华

专家团

Rank: 7Rank: 7Rank: 7

违规
0 点
JmPoint
2790 点
声望
34 点
赏金币
0 枚
发单信誉
0
接单信誉
6
注册时间
2015-7-30
最后登录
2018-10-17
在线时间
421 小时
发表于 2017-3-11 21:55:34 | 显示全部楼层
膜拜师傅把网络验证给日了个遍
回复 支持 反对

使用道具 举报

24

积分

5

主题

0

精华

普通会员

违规
0 点
JmPoint
529 点
声望
1 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-8-2
最后登录
2018-7-7
在线时间
153 小时
发表于 2017-3-12 17:28:52 | 显示全部楼层
膜拜_BaZzi师父  太牛X了
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即加入

本版积分规则

关闭

站长推荐上一条 /2 下一条

QQ|Archiver|手机版|小黑屋|零日安全论坛 ( 吉ICP备15004039号 ) 点击这里给我发消息

GMT+8, 2018-10-19 05:13 , Processed in 0.119481 second(s), 31 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表