把Alexa工具条改装成木马

核心提示： 二、破解Alexa工具条当然，Alexa也不是真傻，把Alexa工具条改装成木马(2)，绝对不会蠢到让自己的代码被你用资源修改工具随便改，为了防止AlxRes.dll中的资源被随意修改，用NOP指令覆盖JNZ指令即可，通俗点讲：就是将AlxRes.dll文件偏移"0x17F6&q

二、破解Alexa工具条

当然，Alexa也不是真傻，绝对不会蠢到让自己的代码被你用资源修改工具随便改。为了防止AlxRes.dll中的资源被随意修改，他采取了计算文件校验和的保护方法，要是发现文件被修改，就会拒绝加载。我们在修改代码前，必须破解这种保护机制。

AlxTB1.dll导出一个名叫ChecksumResources的函数，这个函数就是用来计算文件校验和的。用c32asm反汇编AlxRes.dll文件，查看字符串调用列表，找到"ChecksumResources"字符串，跳转到调用该字符串的代码，于100017C0处。往下翻几行，在100017F6处找到一句跳转，采用爆破方式，用NOP指令覆盖JNZ指令即可。通俗点讲：就是将AlxRes.dll文件偏移"0x17F6"处的两个字节"75 11"改成"90 90"，你可以使用WinHex之类的16进制编辑软件来修改。

::100017C0:: 68 9C700010 PUSH 1000709C \:BYJMP JmpBy:100017A4,100017B1, \->: ChecksumResources
::100017C5:: 57 PUSH EDI
::100017C6:: FF15 1C500010 CALL [1000501C] >>>: KERNEL32.DLL:GetProcAddress
::100017CC:: 85C0 TEST EAX, EAX
::100017CE:: 74 0E JE SHORT 100017DE \:JMPDOWN
::100017D0:: 8D4D DC LEA ECX, [EBP-24]
::100017D3:: 51 PUSH ECX
::100017D4:: FF35 44740010 PUSH DWORD PTR [10007444]
::100017DA:: FFD0 CALL EAX
::100017DC:: 59 POP ECX
::100017DD:: 59 POP ECX
::100017DE:: 57 PUSH EDI \:BYJMP JmpBy:100017CE,
::100017DF:: FF15 18500010 CALL [10005018] >>>: KERNEL32.DLL:FreeLibrary
::100017E5:: 8D45 B8 LEA EAX, [EBP-48]
::100017E8:: 50 PUSH EAX
::100017E9:: 8D45 DC LEA EAX, [EBP-24]
::100017EC:: 50 PUSH EAX
::100017ED:: E8 AE060000 CALL 10001EA0 \:JMPDOWN
::100017F2:: 59 POP ECX
::100017F3:: 85C0 TEST EAX, EAX
::100017F5:: 59 POP ECX
::100017F6:: 75 11 JNZ SHORT 10001809 \:JMPDOWN ;就是修改这里