適合讀者：破解迷、黑兵器庫老板

前置知識：Crack工具的基本使用方法

Icefire：長久以來破解愛好者們都在不斷地尋求一種方式， 可以突破Cracker局限的方式， 可以不單單在各類軟件中隨意馳騁， 更能在網絡這塊天地中自由翱翔。 或許本文就提供了一種讓二者結合更巧妙的方式

適合讀者：破解迷、黑兵器庫老板

前置知識：Crack工具的基本使用方法

Icefire：長久以來破解愛好者們都在不斷地尋求一種方式， 可以突破Cracker局限的方式， 可以不單單在各類軟件中隨意馳騁， 更能在網絡這塊天地中自由翱翔。 或許本文就提供了一種讓二者結合更巧妙的方式， 希望能給你一點啟發。

簡單Crack與Hacker思維打造靈巧后門

文/ dickboy

相信這篇文章的出現將造成網絡電視之類的東西漫天飛舞（或許還有一種新興后門）， 我可沒有一點點私心啊， 知道這點東西就立刻和大家分享了。

同學想看網絡電視， 可惜程序要注冊， 把我這個義工叫了過去， 幾下搞定后， 一看注冊費……還真不是一般的貴！要不咱也寫一個得了？說不定也可以搞點錢花花。 住宿費還欠著呢， 不交錢不讓考試， 窮人家的孩子�。↖cefire：同道同道！想當初……唉， 還是不想了， 大過年的。 ）， 5555……。 可惜我也不知道怎么寫， 我還沒有學過Windows編程， 還記得上期雜志我的文章《Crack新手進化篇》嗎？我的補丁程序可是黑忽忽的界面��！哎， 沒有辦法啊， 不會Windows編程， 只好分析別人的程序了， 就拿網絡電視小精靈下手吧！

Peid檢查后發現是用Delphi編寫的， 郁悶， 很難找到是哪個函數自動打開Realplay或Media Player播放影音資料的， 要是用VC++編寫的就好了。 到網上找了幾個類似的網絡電視程序， 不是Delphi就是VB寫的。 沒有一個VC++的， 只好對網絡電視小精靈動真功夫了——按江湖規矩， 我們單挑……那個拿蔥的大嬸你過來！

Crack思維

用Dede反編譯， Tnit1的TForm1看到很多事件， 仔細看看， 看到了一個CCTV1Click事件， 雙擊來到對應代碼：

004A1A80   53                     push    ebx

004A1A81   8BD8                   mov     ebx, eax

004A1A83   6A01                   push    $01

004A1A85   6A00                   push    $00

004A1A87   6A00                   push    $00

* Possible String Reference to: 'http://www.cctv.com/sports/'

004A1A89   68A01A4A00             push    $004A1AA0

004A1A8E   6A00                   push    $00

004A1A90   8BC3                   mov     eax, ebx

* Reference to: QForms.TCustomForm.GetClientHandle(TCustomForm):QWorkspaceH;

004A1A92   E88501FAFF             call    00441C1C

004A1A97   50                     push    eax

* Reference to: shell32.ShellExecuteA()

004A1A98   E89B94F8FF             call    0042AF38

004A1A9D   5B                     pop     ebx

004A1A9E   C3                     ret

嘿嘿， 原來用的ShellExecuteA。 打開Ollydbg， 載入網絡電視小精靈， 下斷點在004A1A80， 也就是CCTV1Click事件開始的第一條語句。 運行， 點擊中央一臺， 開始播放了……等等， 不對啊， 竟然沒有斷下？！仔細看看網址， 原來用的ShellExecuteA是打開網頁http://www.cctv.com/sports/的， CCTV1Click不是調用Media Player.exe打開中央一臺的事件， 那這個到底是什么東東呢？打開網絡電視小精靈看看， 在網絡導航的體育欄目看到了原來是點擊CCTV體育的事件， 暈倒。

繼續， 再找一個熟悉的：BBC1Click， 從名字上看， 應該是播放BBC電臺或者電視臺的事件（不知道有沒有BBC電視臺， 呵呵）， 雙擊來到對應的地方， 發現這次的代碼和上面的完全不同：

0048E298   BAB0E24800             mov     edx, $0048E2B0

* Reference to control TForm1.WebBrowser1 : TWebBrowser

0048E29D   8B805C040000           mov     eax, [eax+$045C]

* Reference to : TWebBrowser._PROC_0046395C()

0048E2A3   E8B456FDFF             call    0046395C

0048E2A8   C3                     ret

分析發現網絡電視小精靈似乎使用TWebBrowser構件來播放網上的影音資料。 趕緊從網上找了一下TWebBrowser的資料， 原來是Delphi的一個控件……不會啊， 沒辦法。 不能死心， 再找其它的事件——12:00了， 還是睡覺再說， 明天早上還要上課呢！

剛躺到床上， 突然想起前面的ShellExecuteA不是可以打開網頁嗎？那還有沒有其它作用呢？趕緊起床！用IDA反匯編網絡電視小精靈， 找到ShellExecuteA（不要問我怎么找的， 在Names選項）， IDA就是好啊， 給出了注釋：

jmp     ds:__imp_ShellExecuteA ; Opens or prints a specified file

看到了嗎？簡單翻譯應該是：打開或打印一個具體文件。

看來有希望， 網上看電影不也是打開一個具體文件嗎？還記得用Realone網上看電影吧， 突然掉線的時候， 是不是彈出一個對話框， 說什么*.rm不能播放。 趕緊用百度查了查ShellExecuteA的資料， 哇， 太多了， 大部分都是VB中怎么用這個控件， 沒有一個我要的。 靈機一動， 換一種思維方式：當我們點擊一個電視臺或者廣播臺的時候， 不是用Media Player.exe打開就是用Realplay.exe打開的。 所以， 要是可以用ShellExecuteA并且用Realplay.exe作為參數可以打開一個網上的影音文件， 那么用“ShellExecuteA realplay.exe”搜索應該是有結果的。

好了， 搜索“ShellExecuteA realplay.exe”， 沒有發現， ， 不會吧？Ok， 再來搜索ShellExecuteA  Media Player.exe， 也是一個結果也沒有。 只好出絕招了， 拿出Cracker必備的API手冊， 查ShellExecuteA， 居然是用VB描述的……

第二天上課的時候沒有心思， 繼續想這個問題， 沒有什么結果， 回到寢室， 查MSDN， 有發現了：

HINSTANCE ShellExecute(     

    HWND hwnd,

    LPCTSTR lpOperation,

    LPCTSTR lpFile,

    LPCTSTR lpParameters,

    LPCTSTR lpDirectory,

    INT nShowCmd

);

lpOperation支持的用法有：

edit

Launches an editor and opens the document for editing. If lpFile is not a document file, the function will fail.

explore

Explores the folder specified by lpFile.

find

Initiates a search starting from the specified directory.

open

Opens the file specified by the lpFile parameter. The file can be an executable file, a document file, or a folder.

print

Prints the document file specified by lpFile. If lpFile is not a document file, the function will fail.

英語菜， 就不翻譯了， 更具體請查閱MSDN， 我怕說我騙稿費。 到這里， 你有什么想法？lpOperation已經指出了一些操作， 對編寫網絡電視有用的只有上面的“open”。 后來從網上找到了《深入淺出ShellExecute》：

Q：如何打開一個網頁？

ShellExecute(this->m_hWnd,"open","notepad.exe", "c:\\MyLog.log","",SW_SHOW );

As you can see, I haven't passed the full path of the programs.

ShellExecute(this->m_hWnd, "open", "http://www.google.com", "", "", SW_SHOW );

你覺得哪個更有用呢？第一個？實驗一下， 假如我替換Notepad.exe為Media Player.exe， 替換“c:\\MyLog.log”為“d:\\t.mid”， 當然這里的“d:\\t.mid”是真實存在的MID音樂， 這樣行嗎？先簡單測試一下。 選擇開始菜單->運行， 輸入“Media Player.exe d:\t.mid”， 彈出Windows Media Player開始播放t.mid了。

趕快用VC新建一個Win32 Console Application工程， 輸入如下代碼：

#include <windows.h>

int main(int argc, char* argv[])

{

       ShellExecute(0, "open", "Media Player.exe", "d:\\t.mid", "", SW_SHOW);

       return 0;

}

執行， 呵呵， 是不是一個黑忽忽的界面之后， 彈出Windows Media Player開始播放t.mid了？成功！

小提示：Windows 98不是Media Player.exe， 98下面是Mplayer2.exe， 請大家對照自己的機器做實驗。 文中的機器是Windows XP。

第二個例子打開一個網頁， 用什么打開呢？用IE， 確切的說是用默認的瀏覽器， 因為這里沒有指定有什么打開， 也就是說打開網頁有一個關聯程序， 也就是默認的瀏覽器。 發散一下思維， 如果把這里的http://www.google.com換成其它呢？這里我換成“d:\\t.mid”， 趕快用VC新建一個Win32 Console Application工程， 輸入如下代碼：

#include <windows.h>

int main(int argc, char* argv[])

{

       ShellExecute(0, "open", "d:\\t.mid", "", "", SW_SHOW);

//注意與上面的不同之處,去掉了“Media Player.exe”， 同時要打開文件的具體位置成了第3個參數

       return 0;

}

執行， 呵呵， 是不是一個黑忽忽的界面之后彈出Windows Media Player開始播放t.mid了。 因為我測試的機器默認MID關聯Windows Media Player。 這就是為什么我在上面強調“打開網頁關聯默認的瀏覽器”， 如果你的機器默認關聯其它的播放器（如豪杰系列）， 則應該彈出豪杰的超級音頻解霸播放t.mid。

已經出現曙光了， 現在到Baidu找一首歌曲， 我找的是：陳慧琳-記事本。 查看屬性， 得到地址：http://mp3.baidu.com/u?u=http://www.jsshmzx.com/zhuwei/geci/flash/ZzI$.mp3

繼續修改程序：

hellExecute(0, "open", "http://mp3.baidu.com/u?u=http://www.jsshmzx.com/zhuwei/geci/flash//ZzI$.mp3", "", "", SW_SHOW );

小提示：這個地址是Baidu搜索的， 到讀者測試的時候可能已經過時了。

運行， Windows Media Player開始播放陳慧琳的記事本了！成功！

Hacker思維

當我們上網看電視的時候， Windows Media Player或者Realone會打開網絡電視內置的網址， 這個網址是要作為Windows Media Player或者Realone的請求發給服務器的， 所以這里有兩個方法：

1．  既然是網絡電視內置的網址， 那么我們可以先用W32dasm反匯編之后去找網址。

這里仍以網絡電視小精靈為例， 用W32dasm反匯編， 會發現大量的網址， 但是仔細看， 會發現幾乎沒有一個網址是用來看電視和聽廣播的， 都是網絡電視小精靈里面網絡導航提供的網址。 似乎此路不通？等等， 再用Ollydbg載入網絡電視小精靈， 查看字符參考， 沒有吃驚吧？基本可以找到所有的看電視和聽廣播的網址。

2．  既然這個網址是要作為Windows Media Player或者Realone的請求發給服務器， 所以我們可以用Sniffer獲得真實地址。

測試時我用的Commview， 個人覺得這是我等菜鳥最好用的Sniffer， 這里我簡單說一下， 設置過濾條件：IP為自己機器的IP， 只捕獲流出的數據包。 設置協議， 因為播放影音文件一般的協議有這些：mms://， rtsp://等。 如果捕獲不到地址， 放寬條件就可以了。

Ok， 現在解決了所有問題， 剩下的就是不停地加入網址， 寫代碼了。 下面談談怎么利用ShellExecute做一個屬于自己的隱蔽的后門， 這也是從上面的內容中引發的靈感。 先看以下代碼：

// test.cpp：定義控制臺應用程序的入口點

//

#include <windows.h>

int main(int argc, char* argv[])

{

      ShellExecute(0, "open", "Media Player.exe", "d:\\t.mid", 0, SW_HIDE);

      return 0;

}

測試上面的代碼， 運行， 有什么發現嗎？應該有吧：黑忽忽的界面之后， 聽到音樂了吧！但是看到“Media Player”的界面了嗎？沒有！這是因為最后一個參數改為了SW_HIDE；如果這里第2個參數不用Open， 而用0則不會呈現“Media Player”的界面， 但是卻在播放音樂——想到了什么？仔細想想， 如果這里不是Media Player.exe， 而是你的木馬xx.exe？你用另外的一個正常的程序悄悄啟動xx.exe？呵呵， 這個想法不錯吧！這可是擁有不容易被殺死的極品后門啊！

好了， 文章到這里就結束了， 希望大家能看明白， 我要在上面寫出ShellExecute的原型就是因為我想讓朋友們去發掘每一個參數的意義， 說不定就能發現寶藏哦！