fhqbbfcu2050
发表于 2013-2-10 02:35:36
没看懂,不过也留个名。。。
Qokelate
发表于 2013-2-10 09:08:13
回复 15# runsnake
地址的确是直接写在EXE中的,DUMP的作用是分析为什么是那个地址而不是其它地址 {:face (355):}
happytc
发表于 2013-2-10 09:33:18
回复 17# Qokelate
你用的CE搜的?
Qokelate
发表于 2013-2-10 09:56:20
本帖最后由 Qokelate 于 2013-2-10 10:08 编辑
回复 18# happytc
由于找到了一个可用的IP,于是尝试直接用CE搜索一下IP,居然还真找到了,接着赶紧用WinHEX 把内存另存一下(貌似不怎么需要,不过习惯上不喜欢反复执行EXE),貌似XML的地址也就那么几个
{:face (411):}
PS : 还有个更快捷的办法,下载一般都导出于 wininet OD断在 CALL InternetCrackURL 是也一个快捷得到URL的办法
lanfengc
发表于 2013-2-11 18:18:17
回复 1# runsnake
直接在命令前面加上管道命令
echo y | del %temp%\*.*
lanfengc
发表于 2013-2-12 10:01:04
本帖最后由 lanfengc 于 2013-2-12 10:35 编辑
回复 18# happytc
回复 19# Qokelate
没必要逆向程序的.
通过wpe抓包后,发现程序登录的时候,是通过这个地址
cp.123ssh.com/login.php?u=usassh&p=35d2ca05c704195c924a07b9f4411fd1&kid=0878
获取到期的时间.如果获取到的数据是空的,则证明登录失败了.
然后登录成功后,跳转到
www.hostzzz.com/ssh/servers.xml?kid=12609584
获取可使用的代理服务器列表,将列表数据显示到listview中.
最后,双击列表中的某项时候,程序调用plink.exe并传参过去执行.
参数格式为:
免费的用户名@IP地址 -P 443 -D 7070 -N -v -Z 免费的用户名
例如:(下面的#其实都是@,系统自动会转成邮件,所以我替换成了#)
usassh#49.212.205.109 -P 443 -D 7070 -N -v -Z usassh
usassh#50.117.26.122 -P 443 -D 7070 -N -v -Z usassh
usassh#50.117.26.123 -P 443 -D 7070 -N -v -Z usassh
获取参数的AU3代码为:
;将以下代码编译成exe,改名为plink.exe, 替换原plink.exe,就可以将参数写入parm.txt了.
$t=''
For $i=1 To $cmdline
$t&=$cmdline[$i]&' '
Next
FileWrite("PARM.txt",$t&@CRLF)
happytc
发表于 2013-2-12 10:05:12
回复 19# Qokelate
呵,其实满足楼要求,不用这么麻烦
直接找个查看本地网络连接的程序,就可以看到plink连接的远程ip地址是啥了?
happytc
发表于 2013-2-12 10:06:14
回复 20# lanfengc
这是什么“神”法?
明显这样肯定不执行,临时目录下多少文件,根本不会让你删的。
lanfengc
发表于 2013-2-12 10:11:09
回复 23# happytc
没搞明白你的意思. 我回复的是找参数的一种办法,不用通过逆向分析软件的办法.
happytc
发表于 2013-2-12 10:27:16
回复 24# lanfengc
呵,其实是我没有明白你的意思。
因为上面一直没有说找参数的事,所以没有想到这块。
看楼主的意思,是知道参数怎么写的。
happytc
发表于 2013-2-12 10:32:40
回复happytc
回复Qokelate
没必要逆向程序的.
通过wpe抓包后,发现程序登录的时候,是通过这 ...
lanfengc 发表于 2013-2-12 10:01 http://www.autoitx.com/images/common/back.gif
嗯,这个方法也错,一般人做这种事,都是两个思路:就如楼主在#15楼说的,抓包,也就是你这个方法;再则就是内存查找了。
不过,你找参数的方法,说开了非常简单,但能想到用这种方法得到参数,还真是出其不意。很有创意
另外,神了,我试了一下用新版的plink0.62,由于不支持“Z”参数,去掉它,居然不能ssh这个服了
lanfengc
发表于 2013-2-12 10:33:12
回复 25# happytc
他知道参数怎么写,但是不知道参数中的IP是从哪里来的. 所以我用抓包分析的办法,分析出来参数中IP的xml文件的地址, 顺便分析了登录的地址. 我只是想说,不用逆向也可以分析这个程序,没有其他的意思.
lanfengc
发表于 2013-2-12 10:38:11
本帖最后由 lanfengc 于 2013-2-12 10:40 编辑
回复 26# happytc
呵呵,我一直用这个$cmdline变量获取其他程序的参数的. 以前写过一个命令行参数获取器,就是这样的原理,只是加了点界面和生成快捷方式的按钮.
happytc
发表于 2013-2-12 10:44:44
回复 28# lanfengc
不需要装任何东西呀
你用的plink版本是多少》?
反正我用0.62不成功,而用这个客户端里的0.61就没有问题
lanfengc
发表于 2013-2-12 10:51:57
回复 29# happytc
这个Plink是干什么的,不懂.它自带的这个, 是可以连接,是我的端口问题.改下-d 后面的端口就可以了.
它自带的这个plink,是针对它网站更改过的. 你看版本就知道了.