首页
论坛
专栏
课程

[调试逆向] [原创]hidetoolz v2.1在win2k3下重启解决办法

2007-10-24 22:35 11186

[调试逆向] [原创]hidetoolz v2.1在win2k3下重启解决办法

2007-10-24 22:35
11186
用16进制打开hidetoolz.exe找到0x15e71位置把0x14改成0x24
在我自己机器测试成功,不保证这个方法的完美性
请期待作者修改这个bug

ps:求人不如求己

[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (10)
kgdurgwu 2007-10-25 09:00
2
0

  为什么会重启呀???
不懂算法 2 2007-10-25 11:37
3
0
.text:000129A9                 mov     dword_1327C, 11E1h
.text:000129B3                 mov     dword_13284, 1137h
.text:000129BD                 mov     dword_13274, 1179h
.text:000129C7                 mov     dword_13268, 42h
.text:000129D1                 mov     dword_13280, 1205h
.text:000129DB                 mov     dword_13264, 228h
.text:000129E5                 mov     dword_13290, 154h
.text:000129EF                 mov     dword_13278, 22Ch
.text:000129F9                 mov     dword_13270, 0C4h
.text:00012A03                 mov     dword_1328C, 114h


这个地方是判断操作系统是2003后初始化的地方,这些数值应该都是未公开的数据
根据操作系统不同数值也会不同,我们注意到把dword_1328C初始化为114h

.text:00011C17                 mov     eax, dword_1328C
.text:00011C1C                 mov     eax, [eax+esi]
.text:00011C1F                 mov     [ebp+Object], eax

这个地方取esi+dword_1328C即esi+114h的地方的数据保存到ebp+Object
.text:00011C93                 mov     eax, [ebp+Object]
.text:00011C96                 cmp     eax, ebx
.text:00011C98                 jz      short loc_11CDB
.text:00011C98
.text:00011C9A                 mov     eax, [eax+14h]
.text:00011C9D                 mov     eax, [eax]
.text:00011C9F                 mov     esi, [eax+24h]

这个地方取上面保存的数值为eax,然后再取[eax+14h]的值,而当dword_1328C等于114h的
时候,[esi+114h]=3,这样mov     eax, [eax+14h]就是mov     eax, [3+14h]造成错误,导致系统重启,所以说这个114h数值不适合2003,更确切的说不适合2003sp2吧,可能这个数适合某个版本的2003,经过调试2003sp2下的这个数值应该是124h
所以我们要做的就是把mov     dword_1328C, 114h改成mov     dword_1328C, 124h
sunsjw 1 2007-10-25 12:51
4
0
我是说我的2003一直用不起,多谢不懂算法兄弟,膜拜下你。
xIkUg 9 2007-10-25 14:55
5
0
刚看了一下,原来是EPROCESS->SectionObject的偏移
kgdurgwu 2007-10-25 15:40
6
0
谢谢lz的详解
学习
forgot 26 2007-10-25 16:24
7
0
膜拜123456
不懂算法 2 2007-10-25 18:10
8
0
学习了
bithaha 5 2007-10-25 19:59
9
0
多谢超懂算法,好久没见你上线呀
iawen 3 2007-10-25 20:46
10
0
膜拜,我按楼主的说明测试成功,多谢!
更多谢另几位的“渔”,呵呵,我的是WIN2003+SP2
Mozillor 2007-12-5 20:51
11
0
我也测试成功!可是貌似在2003的任务管理器里面仍然可以看到打算隐藏的程序,包括HIDETOOLZ自身,怎么办?
游客
登录 | 注册 方可回帖
返回