Archive for 九月, 2014

ISC看雪keygen me分析

星期三, 24 九月, 2014

crackme2

其实没啥难度……算法部分就是

可以看到其实就是输入的key^0x32然后再拿异或后的key两两异或生成一个val然后再每个字节异或val生成一个checkcode、然后checkcode再去异或key^0x32得到的就是结果。于是怎么算回去呢?因为异或的神奇属性,所以我们可以选择直接把最后的结果xor 0x32然后再写个程序跑0-0xFF的异或结果即可。跑完了发现只有三个比较漂亮的结果,答案就是其中的一个。

话说我做的时候是用OD的……这是为了写给各位看官看才用ida f5了一下的_(:з」∠)_

怒艹流氓老毛桃之二

星期二, 16 九月, 2014

越看这代码越是气不打一处来。老毛桃现在俨然已经不是以前那个甘于为大家奉献的老毛桃个人、而是一个唯利是图的商业团队。中国的软件作者一旦染上商业的色彩便无所不用其极……真是恶心的让人想吐……代码写的简直就是个病毒!打着方便易用的旗号实则在WinPE里感染正常操作系统关闭UAC为自己安装流氓软件大行方便之道。我说这些推广厂商也不看看你们选的团队用什么方法推广你们的软件。用病毒推广自己的软件不觉得害臊么,以前我还以为只有百度会这么做。现在发现尼玛TX也不是什么好东西……你的东西好我不用你推广也会去自己下载,这种流氓的推广方法只会为自己增加负面的积分!

先来说说那个MySET、核心全都在这里面了,然后还有个SUPPORT.img,位于/ILMT/IMGS/SUPPORT.IMG,本身不是标准的IMG镜像文件、打开看头文件有个FBAR的Magic、在脚本里也看到了fbinst的引用,所以猜测是fbinst的磁盘镜像文件,遂用FbinstTool装载,得到如下结果
20140915081626

明白人一看就懂了吧?Inno setup的安装脚本

你以为我的分析到此结束么?错……对于这种流氓软件恨不能生啖其肉。这只是个引言,接下来才是他流氓的地方。
Read the rest of this entry »

怒艹流氓老毛桃之一

星期日, 14 九月, 2014

_(:з」∠)_晚上给妹子装电脑、弄了好久……非常小心的没有装上国产的流氓软件、然后都弄好以后重启用老毛桃备份、备份完了启动速度巨慢。然后发现被安装了 爱奇艺视频 飞速浏览器 网购返利 QQ管家等软件……=。=一开始我还觉得奇怪、他妈的刚才还没问题怎么备份一下国产流氓全都出来了……然后想了一下……大概是老毛桃的毛病……之前用这个会被设置主页……这次用的新版没想到会这么过分……

遂怒查资料、发现老毛桃用了一个隐藏分区、之前一直想研究老毛桃的原理却止步在这个隐藏分区上,这次不会退让了……太流氓了……妈蛋!
查到如下

UD是使用时空论坛bean大侠制作的fbinst或者它的gui界面fbinsttool产生的一个分区,可以在硬盘、U盘或者储存卡上分出一个隐藏的分区,其特性是除了基于fbinst的工具可以进行读取之外的任何软件或者系统都无法读取其中的数据,具有防病毒、木马和防格式化等功能!而且对U盘的普通格式化也不会破坏隐藏FBA文件。

然后遂查找fbinsttool提取老毛桃分区,研究发现SRS文件夹应该是一堆驱动 TOOLS文件夹是附加的几个镜像PELOAD就是自定义的那坨东西IMGS就是启动菜单上的一堆功能。

回忆了一下是使用了拓展的imagex工具染上流氓的、遂拆镜像、找文件,Autoit3封装、拆!

从代码可见老毛桃之猥琐。大概也是流氓软件常用的手法。然后想了一下大概这不要脸的家伙会把MYSET放到PE镜像里,遂查之。果然在LMT Win8镜像的System32下面找到了这个、两层壳、外面一层是啥不清楚,感觉像加密壳?谁知道呢……反正里面是UPX。加壳这货是入门吧……UPX外面套个啥都是废品啊。

解之。发现了老毛桃的名字

Release path in autoit3:
C:\DOCUME~1\linfu\LOCALS~1\Temp\autE9.tmp

大概是个叫linfu的家伙……=。=人肉什么的先放放。然后剩下几个是

Release path in autoit3:
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\帮助.dat
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\fbinst.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\reg.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\Url.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\LMTset.au3.tbl

总之reg功能繁多、分析暂缓。还有解的不太好……第一次接触AutoIt3没啥经验,回头解个完美的出来分析。

从这上面来看应该是在备份前就已经把这些垃圾艹到系统里了……因为只延迟了30秒启动。而且因为镜像改起来比较麻烦、之后我大概会放一个MYSET的解药。其实最好的方法就是在刚进入老毛桃Win8PE的时候删除System32下的MySet.exe_(:з」∠)_卅、谁叫咱一开始不知道这事呢~

OpenWRT IPv4静态 IPv6动态配置方案

星期六, 6 九月, 2014

折腾了一整天。好不容易弄出来地址了结果运行了下Transmission路由当了……下载速度最高的时候2M/s,磁盘是ext3的、也许USB3速度能更快点吧。╮( ̄▽ ̄”)╭ 买不起就是了。

然后路由宕完了重启以后IPv6又废了。折腾一晚上找到一种比较妥的方案、虽然还没测试Transmission之类的,不过感觉应该挺靠谱。起码这次看上去获取到的数据都正常了。

下面来说步骤:
首先你需要把从外面进来的网线插到WAN上……然后剩下的随意
改完root密码以后ssh上去 192.168.1.1

注释掉wan和wan6
然后把lan改成

这些配置结合自己计算机ipconfig出来的数据和交换机ifconfig出来的数据填上就可以了,注意v6网关那个地方千万不要手贱加/64,我就因为这地方手残结果反反复复好几次……网关设置了/64以后整个交换机就无法控制了Otz
然后

到LuCI的IPv6 RA and DHCPv6把三个全部设成Relay,或者嫌麻烦直接

然后重启即可

重启以后就是见证奇迹的时刻~

Read the rest of this entry »

OpenWRT无线IPv6桥接

星期六, 6 九月, 2014

昨晚上用谷歌用的挺爽……忽然发现IPv6挂了……Otz、我还以为是学校的事……早上起来发现IPv6还没好、远程到办公室的电脑发现那边IPv6没问题、下床开机发现有线网ipv6也没问题……然后上网上搜了一圈发现OpenWRT的无线模式好像设置错了。三个6relayd把cpu都占满了、明显卡死了……难道一直是用的DHCPv6么、

参考http://projectgus.com/2010/03/wireless-client-bridging-with-openwrt/

然后wifi-iface里加一行

然后

_(:з」∠)_于是我无线的IPv6又复活了……看样子OpenWRT的IPv6软路由写的还是不够好啊。才用了几个小时就挂死在那了……