環(huán)境：
Windows xp sp3

工具：
Ollydbg
stud_PE
LoadPE

先分析一下。
這次的程序要求更改了，變成了這個(gè)：

defiler's reversme no.1 -----------------------The task of this little, lame reverseme is to add some code to it. The code you have to add will be triggered by the 'Exit' menu and should look like this:A messagebox should appear asking the user "Do you fickbirne really want to quit?". Its buttons should be 'Yes' and 'No'. If the user clicks 'Yes', simply exit the program in a clean way, if the user clicks 'No' just do NOT exit the program (it's up to you what will happen when the user clicks 'No').Valid solutions are solutions with a tutorial explaining what you did, explaining the code you added and the modified binaries.Mail your solution to defiler@immortaldescendants.org Valid solutions will be published on http://immortaldescendants.org, the first solution will be on http://defiler.cjb.netthats it.. i hope i didn't forget any more unimportant stuff ;)best regards,defiler

其實(shí)就是程序的菜單欄的Exit選項(xiàng)沒(méi)有功能，讓我們把加個(gè)messagebox下去，實(shí)現(xiàn)這個(gè)Exit選項(xiàng)。

OD載入，直接運(yùn)行，點(diǎn)擊菜單欄，選About選項(xiàng)，彈出messagebox，F12站廳，Alt+F9，點(diǎn)擊確定。斷下來(lái)到這里：

0043CCE2 |. 64:FF31 push dword ptr fs:[ecx] 0043CCE5 |. 64:8921 mov dword ptr fs:[ecx],esp 0043CCE8 |. 53 push ebx ; /Style 0043CCE9 |. 57 push edi ; |Title 0043CCEA |. 56 push esi ; |Text 0043CCEB |. 8B45 FC mov eax,[local.1] ; | 0043CCEE |. 8B40 24 mov eax,dword ptr ds:[eax+0x24] ; | 這個(gè)是messageBox所屬的hwnd 0043CCF1 |. 50 push eax ; |hOwner 0043CCF2 |. E8 C998FCFF call <jmp.&user32.MessageBoxA> ; \MessageBoxA 0043CCF7 |. 8945 F8 mov [local.2],eax ;程序暫停后的位置

單步F8往下走：

00430528 /$ 53 push ebx 00430529 |. 33DB xor ebx,ebx 0043052B |. 0FB7D2 movzx edx,dx 0043052E |. 33C9 xor ecx,ecx 00430530 |. E8 53FFFFFF call defiler_.00430488 ; 獲取點(diǎn)擊后的位置 00430535 |. 85C0 test eax,eax ; 確認(rèn)點(diǎn)擊的是哪個(gè)東西 00430537 |. 74 07 je Xdefiler_.00430540 ; 00430539 |. 8B10 mov edx,dword ptr ds:[eax] ; 0043053B |. FF52 40 call dword ptr ds:[edx+0x40] 0043053E |. B3 01 mov bl,0x1 00430540 |> 8BC3 mov eax,ebx 00430542 |. 5B pop ebx 00430543 \. C3 retn

在00430535下斷點(diǎn)，重新運(yùn)行程序，點(diǎn)擊菜單欄，選About，程序斷下。觀察EAX的值：

數(shù)據(jù)窗口跟隨：
顯示方式改為：長(zhǎng)型 -> 地址

可以猜測(cè)上一個(gè)call是用來(lái)確定菜單欄的選項(xiàng)的。
讓程序重新運(yùn)行，這次點(diǎn)Exit

看出這兩個(gè)的值是不同的，于是可以用eax的值來(lái)判斷點(diǎn)擊的內(nèi)容。

現(xiàn)在可以開始添加代碼了。
首先先用LoadPE刪除重定位信息。
打開LOadPE后用PE編輯器加載程序。

設(shè)置為0

然后就保存

再用stud_PE打開，添加section

大小設(shè)置為0x1000，用NULL填充

點(diǎn)擊Add添加，完成后雙擊新建的section

設(shè)置一下Characteristics flags為0xE00000E0
順便記一下VirtualOff：4E000
save一下。

OD載入這個(gè)修改過(guò)的程序，跳轉(zhuǎn)到44E000處，然后就可以開始添加代碼了。

思路是這樣的：
在00430530處的call后獲取了點(diǎn)擊的內(nèi)容，然后就直接跳轉(zhuǎn)到44E000處進(jìn)行判斷，根據(jù)內(nèi)容來(lái)確定接下來(lái)的程序。如果是“About”的值就直接返回去源代碼處，否則就是exit的值了，就可以彈出消息框，根據(jù)用戶點(diǎn)擊來(lái)確定點(diǎn)擊內(nèi)容從而判斷接下來(lái)的行為。

0044E000 85C0 test eax,eax 0044E002 - 0F84 3825FEFF je 復(fù)件_def.00430540 ;這里就和原代碼相同，如果為空就跳過(guò) 0044E008 60 pushad 0044E009 8B0D D0FB4300 mov ecx,dword ptr ds:[0x43FBD0] ; 復(fù)件_def.004407C8 0044E00F 8B09 mov ecx,dword ptr ds:[ecx] 0044E011 90 nop 0044E012 90 nop 0044E013 90 nop 0044E014 81C1 04230000 add ecx,0x2304 ;這個(gè)值會(huì)有所改變，在xp上是0x2304，在Win8.1的話則是0x22A0，具體原因能力有限 0044E01A 3BC1 cmp eax,ecx ;這里就判斷eax的值是"ABout"還是"Exit"的 0044E01C 61 popad 0044E01D 8B10 mov edx,dword ptr ds:[eax] 0044E01F 75 05 jnz X復(fù)件_def.0044E026 0044E021 - E9 1525FEFF jmp 復(fù)件_def.0043053B 0044E026 A1 D0FB4300 mov eax,dword ptr ds:[0x43FBD0] 0044E02B 8B00 mov eax,dword ptr ds:[eax] 0044E02D 83C0 24 add eax,0x24 ;這里是獲取handle，具體的原因可以看一開始程序斷下時(shí)的messagebox 0044E030 6A 24 push 0x24 0044E032 68 58E04400 push 復(fù)件_def.0044E058 ; ASCII "Quit" 0044E037 68 60E04400 push 復(fù)件_def.0044E060 ; ASCII "Are you sure quit?" 0044E03C FF30 push dword ptr ds:[eax] 0044E03E E8 7D85FBFF call <jmp.&user32.MessageBoxA> 0044E043 83F8 06 cmp eax,0x6 ;0x6為“Yes”，0x7為“No” 0044E046 74 05 je X復(fù)件_def.0044E04D 0044E048 - E9 F124FEFF jmp 復(fù)件_def.0043053E ;如果是“No”就跳回去原來(lái)的位置 0044E04D 6A 00 push 0x0 0044E04F E8 D831FBFF call <jmp.&kernel32.ExitProcess> 0044E054 0000 add byte ptr ds:[eax],al 0044E056 0000 add byte ptr ds:[eax],al 0044E058 51 push ecx ;這里開始往下就是字符串的值了 0044E059 75 69 jnz X復(fù)件_def.0044E0C4 0044E05B 74 00 je X復(fù)件_def.0044E05D 0044E05D 0000 add byte ptr ds:[eax],al 0044E05F 0041 72 add byte ptr ds:[ecx+0x72],al 0044E062 65:2079 6F and byte ptr gs:[ecx+0x6F],bh 0044E066 75 20 jnz X復(fù)件_def.0044E088 0044E068 73 75 jnb X復(fù)件_def.0044E0DF 0044E06A 72 65 jb X復(fù)件_def.0044E0D1 0044E06C 2071 75 and byte ptr ds:[ecx+0x75],dh 0044E06F 69743F 00 00000>imul esi,dword ptr ds:[edi+edi],0x0

修改完44E000的代碼后，再修改一下 00430530后面的內(nèi)容

0043052B . 0FB7D2 movzx edx,dx 0043052E . 33C9 xor ecx,ecx 00430530 . E8 53FFFFFF call 復(fù)件_def.00430488 00430535 .- E9 C6DA0100 jmp 復(fù)件_def.0044E000 ; 改了這里 0043053A 90 nop 0043053B . FF52 40 call dword ptr ds:[edx+0x40] 0043053E . B3 01 mov bl,0x1

修改完后保存一下就好了

完成 O(∩_∩)O

參考：
https://www.52pojie.cn/thread-654237-1-1.html

總結(jié)

以上是生活随笔為你收集整理的160 - 41 defiler.1.exe的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。