UPX源码版本选择

UPX在4.0版本后，对编译的流程做了很多优化，编译起来非常方便，建议使用4.0之后的版本。这里以4.0.2为例。

推荐使用release的版本，如果直接使用git clone，可能在后续的编译stub步骤出现问题；如果直接git clone没问题，则可以直接使用。

概述

WTSEnumerateProcessesExA用于获取指定会话中的进程信息，该API位于Wtsapi32.dll，Windows 7至Windows 11均受影响。使用该API获的进程名是不完整的，W版本则无问题。问题出在Unicode编码转多字节编码时，传入的Unicode字符串字节数量错误。

问题现象

概述

Windows默认要求，文件名中不能以空格开头或结尾，如果有空格，系统会自动移除。但是如果使用UNC文件名，空格会被保留。部分校验工具，没有处理好这种特殊文件名，导致校验文件时，拼接了错误的文件路径，达到欺骗校验的效果。

测试伪造效果

一. ICMP协议格式

ICMP（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

注意，ICMP是是TCP/IP协议的一部分，属于网络层的协议（TCP/UDP是传输层在第4层，ICMP是第3层），而且是一种无连接的协议（参考UDP，直接发数据包）。

Zone.Identifier文件是什么

从网上下载的文件始终可能包已含损坏数据或恶意软件。 因此，网络浏览器在NTFS ADS（备用数据流）区域中存储有关下载文件位置的信息。 该信息称为“zone.identifier（区域标识符信息）”，由安全程序使用。

（摘自https://www.bandisoft.com/bandizip/help/zone-identifier/）

准备工作

OpenSSL 源码（使用的 1.1.1k 版本）下载地址：链接
Perl for MS Windows 下载地址：链接
VS2019，自己找吧
nasm 下载地址：链接

安装编译环境

准备工作

rar2john 工具下载地址：
http://openwall.info/wiki/_media/john/johntheripper-v1.8.0.12-jumbo-1-bleeding-e6214ceab-2018-02-07-win-x64.7z

hashcat 下载地址：
https://hashcat.net/files/hashcat-4.1.0.7z

为了方便调试样本，搞了一个Win7x64的虚拟机：

集成了一部分工具，大致如下：

虚拟机配置：

虚拟机大小在15G左右，下载后把ovf导入虚拟机就能用了；
常用工具单独打包了一份，1.9G左右，送给有缘人。

下载地址：
链接:
https://pan.baidu.com/s/1MQmUaDnPq6Hz672M_XkRLw

GoodSync 简介

GoodSync 是一个很好用的文件同步工具，可以同步本地的目录，也可以将数据同步到另外一台计算机。免费版可以使用完整功能，有30天的限制，30天后同步任务不能超过3个，同步文件数量不能超过100。

破解思路

概述

crontab 中默认使用的环境变量有限，导致定时任务中执行的脚本，会找不到命令。在执行的脚本中导入当前用户的环境变量可以解决问题。

添加方式