| 一 说明: 本来打算这半年好好研究些东西,怎奈工作繁忙,兴趣也是一时高涨一时低落,而我又不是有那种悬梁刺骨精神的人,故断断续续的弄着。一时,突然想起还曾有个想法还未完成,故下定决心这次一定要写坚持写完。 WinCheater就是在这样的情况下写的。主要功能是跟踪程序API调用,并可注入错误数据,动态改变程序执行流程,查看API调用参数信息。对于研究病毒的朋友可能知道,有些病毒触发条件较苛刻,需要有相应环境才能触发其感染及其他功能。修改程序固然可行,但难度也相对较大,这个工具或许能帮上大家的忙,用提供的命令,骗Windows就行了。 因为被跟踪的程序是在真实环境执行,所以若要分析恶意程序的话还是在虚拟机里为妙,要不就会 ^.^咔咔。该程序主要是利用调试进程的机制,故对抗反调试方面不够理想,若有反调试的壳加过的程序要脱壳后进行,一般的UPX,ASPACK等加过壳的程序则无问题,不用脱壳就可调试,当然我的初衷也并非想对抗反调试方面东西,只是提供个工具可以窥视程序内部流程,修修改改、骗骗它而已。 二 支持命令: 目前支持的命令有,以后可能会扩充 S -- 启动程序 bp -- 设置单步API函数断点 bpa -- 设置所有API函数断点(所有只配置文件包含的那些) R -- 运行程序,直到遇到断点为止。 mp -- 修改函数参数命令 mr -- 修改返回值断点 dd -- 查看数据 三 演示: Test.exe 运行效果为  (一) 下面加载WinCheater看看效果,选择被跟踪程序后键入s命令  (二) 键入bp 命令并输入被监控函数  (三)  (四) 输入 mp命令,格式为 mp p1:”haha”,p1 –表示参数1(从下标0开始算),”:”表示分 隔 ,””扩起的为字符串,若要是数字则不用 “” ,如 mp p0:1234 ,表示修改第0个参数为1234;  键入 r 运行  弹出的对话框已经被修改为haha 字样了。 Test2 为这样一个程序。 HANDLE h = NULL; h = CreateFile(".\\test.txt",GENERIC_WRITE,FILE_SHARE_WRITE,NULL,CREATE_NEW,FILE_ATTRIBUTE_READONLY,NULL); if(!h) AfxMessageBox("哈哈被骗了!"); else AfxMessageBox("创建text.txt文件成功!"); 我们通过修改他,使其建立文件成功,但仍然走到AfxMessageBox("哈哈被骗了!");分支。 加载Test2.exe . 键入 bp CreateFileA ,wincheater 断在此处  此时也可以用DD 查看内存情况  键入 mr 指令 可以看到。  以上就是WinCheater 的主要功能,由于程序写的匆忙,错误在所难免,请谅解。 如有BUG请联系我哦。 Mail : neineit@hotmail.com QQ : 791928661 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 13:28 , Processed in 0.072728 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
