逆向了下 NtGodMode
昨天把 NtGodMode 逆向分析了一下,程序加了 UPX 壳的,在 OD 里单步跟踪脱掉壳后,Delphi 写的,Delphi 的程序反汇编实在是难受,分析到凌晨三点多实在受不了了睡觉去了,刚接着继续分析,后来发现网上有人已经分析过了:http://hi.baidu.com/wukong90/blog/item/9e269ccd547e04540eb345bd.html。
看了整个流程,首先程序打开 LSASS.EXE 调用的 msv1_0.dll 模块,然后找到
8B 4D 0C 49
后的第一个
32 C0
对应的汇编代码就是
xor al,al
把它修改成
mov al,1
对应的就是
B0 01
为什么要改这?我也不知道,家里机器跑虚拟机太恼火了,等回成都后,用虚拟机调试一下。msv1_0.dll 用来认证密码的,通过修改这个文件也可以实现无密码,把
F8 10 75 11 B0 01 8B 4D
改成
E0 00 75 11 B0 01 8B 4D
就可以清空系统密码了(XP下)。