逆向了下NtGodMode

昨天把NtGodMode逆向分析了一下,程序加了UPX壳的,在OD里单步跟踪脱掉壳后, Delphi写的,Delphi的程序反汇编实在是难受,分析到凌晨三点多实在受不了了 睡觉去了,刚接着继续分析,后来发现网上有人已经分析过了 http://hi.baidu.com/wukong90/blog/item/9e269ccd547e04540eb345bd.html 。 看了整个流程,首先程序打开LSASS.EXE调用的msv10.dll模块,然后找到

8B 4D 0C 49

后的第一个

32 C0

对应的汇编代码就是

xor al,al

把它修改成

mov al,1

对应的就是

B0 01

为什么要改这?我也不知道,家里机器跑虚拟机太恼火了,等回成都后,用虚拟机调试一下。msv10.dll用来认证密码的,通过修改这个文件也可以实现无密码,把F8 10 75 11 B0 01 8B 4D改成E0 00 75 11 B0 01 8B 4D就可以清空系统密码了(XP下)。

总之,这个程序不咋样。