오렌지나라 http://0range.net

간단하게 윈도우 버젼 얻기

seyool — Fri, 13 Oct 2006 08:14:20 GMT

// GetWindowsVersion.cpp : 콘솔 응용 프로그램에 대한 진입점을 정의합니다.
//
// NTDLL의 RtlGetVersion() 함수에서 알수가 있었습니다
// 현재 사용하고 있는 운영체제의 버젼을 PEB정보를 통하여 가져옵니다
// 잘못되었거나, 궁금한점이 있으시면 seyool@dreamwiz.com로 알려주세요 ^^
/* -------------------------------------------------------------------
Operating system    Version number
   -------------------------------------------------------------------
Windows Server "Longhorn"  6.0
Windows Vista     6.0
Windows Server 2003 R2   5.2
Windows Server 2003    5.2
Windows XP      5.1
Windows 2000     5.0
Windows Me      4.90
Windows 98      4.10
Windows NT 4.0     4.0
Windows 95      4.0
------------------------------------------------------------------ */

#include "stdafx.h"
#include
void GetWindowsVersion(PULONG pMajorVersion, PULONG pMinorVersion)
{
_asm
{
  push edi
  push esi
  mov eax, dword ptr fs:[18h]
  mov edi, dword ptr ds:[eax+30h]
  ; Get Major Version
  mov eax, dword ptr ds:[edi+0A4h]
  mov esi, [pMajorVersion]
  mov dword ptr ds:[esi], eax
  ; Get Minor Version
  mov eax, dword ptr ds:[edi+0A8h]
  mov esi, [pMinorVersion]
  mov dword ptr ds:[esi], eax
  pop esi
  pop edi
}
}
int _tmain(int argc, _TCHAR* argv[])
{
ULONG ma, mi;
GetWindowsVersion(&ma, &mi);
printf("Current Windows version %X.%X\n", ma, mi);
return 0;
}

getversion.zip

유저영역에서 API후킹을 안당할려면?

seyool — Mon, 02 Oct 2006 14:16:53 GMT

간단하게..
API를 쓰지 않는다 -_-)b

안티디버깅 루틴

seyool — Fri, 29 Sep 2006 01:04:20 GMT

근래에 모 프로텍터를 분석하고 있다.
커널단과 유저단 모두 동작하는 넘인데 이놈이 실행중일때 SDT를 변조하면
이상헤게 시스템이 다운되는것이었다.
여러가지 삽질끝에 재미난 코드를 발견했다.
일종의 AntiDebug루틴이다.
000116AF:
                cmp     [ebp-1Ch], esi
                jz      short 000116CA
                push    ebx
000116B5:
                in      al, 64h         ; AT Keyboard controller 8042.
                mov     bl, al
                test    bl, 1
                jz      short 000116C0
                in      al, 60h         ; AT Keyboard controller 8042.
000116C0:
                test    bl, 2
                jnz     short 000116B5
                mov     al, 0FEh
                out     64h, al         ; AT Keyboard controller 8042.
                                        ; Resend the last transmission
                pop     ebx
000116CA:
                .. 정상적인 코드 ..

PSEUDO코드로 변환한다면 이렇게 될 것이다.
// 후킹된 SDT가 다시 변조됬다면, 시스템 리붓
if (DirtyBit == 1)
{
wait_keyboard();
send_keycmd(0xFEh);
}

cr0 레지스터 사용 예

seyool — Tue, 19 Sep 2006 07:43:22 GMT

/*
now we are changing SDT
we have to use atomic operations because of multiprocessor machines

we also have to disable WP bit for WXP SP2 and higher
to be able to write to SDT
*/

_asm                                          //disable WP bit
{
    mov eax,cr0                                 //move CR0 register into EAX
    and eax,not 000010000h                      //disable WP bit
    mov cr0,eax                                 //write register back
}

OldZwOpenProcess=(ZW_OPEN_PROCESS)InterlockedExchange((PLONG)&SYSTEM_SERVICE(ZwOpenProcess),(ULONG)NewZwOpenProcess);

_asm                                          //enable WP bit
{
    mov eax,cr0                                 //move CR0 register into EAX
    or eax,000010000h                           //enable WP bit
    mov cr0,eax                                 //write register back
}

출처: http://somma.egloos.com/2131561

울집 강아지

seyool — Sat, 27 Mar 2004 11:47:36 GMT

이름도 없어요
저 전역선물로 받은 강아지인걸요..
머리부터 발끝까지 시커메요.. (맘속까지도??)
귀엽죠?

-------------------------------------------------------------------------
좀더 좋은 모습으로, 뵙기 위해
홈페이지를 옮겼습니다.

오렌지.넷

여기루 오세요