逆向了下 NtGodMode

昨天把 NtGodMode 逆向分析了一下,程序加了 UPX 壳的,在 OD 里单步跟踪脱掉壳后,Delphi 写的,Delphi 的程序反汇编实在是难受,分析到凌晨三点多实在受不了了睡觉去了,刚接着继续分析,后来发现网上有人已经分析过了:http://hi.baidu.com/wukong90/blog/item/9e269ccd547e04540eb345bd.html

看了整个流程,首先程序打开 LSASS.EXE 调用的 msv1_0.dll 模块,然后找到

8B 4D 0C 49

后的第一个

32 C0

对应的汇编代码就是

xor al,al

把它修改成

mov al,1

对应的就是

B0 01

为什么要改这?我也不知道,家里机器跑虚拟机太恼火了,等回成都后,用虚拟机调试一下。msv1_0.dll 用来认证密码的,通过修改这个文件也可以实现无密码,把

F8 10 75 11 B0 01 8B 4D

改成

E0 00 75 11 B0 01 8B 4D

就可以清空系统密码了(XP下)。