首页
社区
课程
招聘
一个含有恶意代码的源代码自动格式化工具
发表于: 2005-3-3 21:12 7945

一个含有恶意代码的源代码自动格式化工具

2005-3-3 21:12
7945
【软件名称】: SourceFormatX 2.56
【使用工具】: Fi,Ollydbg,ImportREC
【软件简介】: SourceFormatX 是一个强大的源代码自动格式化,缩进,排版,美化工具。
               它可以格式化 C, C++、Java、C#、Object Pascal、PHP、ASP、JSP、VB、
               VB.NET、VBScript、JavaScript 和 HTML Components源代码。
               它还可以将源代码输出为语法高亮显示的 HTML 或 RTF 文件。
【软件大小】: 731 KB
【编写语言】: Borland Delphi 5
【加壳方式】: PECompact 1.68 - 1.84
【保护方式】: 文件验证(License.dat), 破解过程中发现恶意代码,会导致系统崩溃,请高手看看用什么方法可以破解
【软件下载】: http://wh.onlinedown.net:88/down/sourceformatx256cn.exe

/***********************************脱壳**************************************/

    ; 跟踪到00625556处
    00625556      C2 0400   retn 4
   
    ; 此处就是OEP,记得脱壳后重建输入表,我用的是ImportREC
    00573258      55        push ebp
/********************************去掉OD检查***********************************/
   
    ; 调用检查OD的函数
    0057330F     E8 002EFEFF   call SourceFo.00556114
    ...
    ...
    ; 将这里的 机器码 74(jz) 修改为 EB(jmp)
    0055614C     74 23         jz short upSource.00556171

    ; 调用检查OD的函数
    005774EA     E8 CDB4FFFF   call SourceFo.005729BC
    ; 将这里的 机器码 74(jz) 修改为 EB(jmp)
    005729F2     74 42         je short SourceFo.00572A36
   
    ; 将这里的 机器码 74(jz) 修改为 EB(jmp)
    0055F076     74 42         je short SourceFo.0055F0BA

/*****************************去掉文件修改检查********************************/

    ; 检查执行程序是否被修改
    005774F4     E8 97B1FFFF   call SourceFo.00572690
    ; 将这里的 机器码 74(jz) 修改为 EB(jmp)
    005723AC     74 55         je short SourceFo.00572403

    ;
    0044EA65     E8 A69BFFFF   call SourceFo.00448610
    0044861D     74 17         je short SourceFo.00448636

/*******************************去掉DeDe检查**********************************/

    ; 将这里的 机器码 74(jz) 修改为 EB(jmp)
    005727F4     74 28         je short SourceFo.0057281E

    0055641C     74 28         je short SourceFo.00556446

/*****************************去掉Filemon检查*********************************/

    ; 将这里的 机器码 74(jz) 修改为 EB(jmp)
    005560C4     74 20         je short SourceFo.005560E6

/*****************************去掉Snacker检查*********************************/

    ; 将这里的 机器码 74(jz) 修改为 EB(jmp)
    005560ED    74 20          je short SourceFo.0055610F

/*************************其他各类调试软件的驱动句柄检测**********************/
    00573314    E8 632CFEFF    call SourceFo.00555F7C

    ; 关键CALL, 以 eax 传递参数,
    005774EF    B8 54885700    mov eax,SourceFo.00578854    ;  ASCII "License.dat"
    005774F4    E8 97B1FFFF    call SourceFo.00572690

/****************************执行文件尺寸检查*********************************/

    0055F105    |.  6A 00           push 0                               ; /pFileSizeHigh = NULL
    0055F107    |.  8B45 FC         mov eax,dword ptr ss:[ebp-4]         ; |
    0055F10A    |.  50              push eax                             ; |hFile
    0055F10B    |.  E8 D477EAFF     call <jmp.&kernel32.GetFileSize>     ; \GetFileSize

    ; 将这里的 机器码 3D A8421200 修改为 3D 00E02200(00902200)
    0055F110    |.  3D A8421200     cmp eax,1242A8
    0055F115    |.  7E 1F           jle short SourceFo.0055F136

    // ???
    0055EF71    75 1C          jnz short SourceFo.0055EF8F

/******************************修理非法用户***********************************/
    0055F117    |> /6A 03           /push 3
    0055F119    |. |B8 B8F45500     |mov eax,SourceFo.0055F4B8           ;  ASCII "048229125055114025094102049210040021027068051099091168132234034161018208011"
    0055F11E    |. |8D55 E8         |lea edx,dword ptr ss:[ebp-18]
    0055F121    |. |E8 9625EFFF     |call SourceFo.004516BC
    0055F126    |. |8B45 E8         |mov eax,dword ptr ss:[ebp-18]
    0055F129    |. |E8 124FEAFF     |call SourceFo.00404040
    0055F12E    |. |50              |push eax                            ; |CmdLine
    0055F12F    |. |E8 4079EAFF     |call <jmp.&kernel32.WinExec>        ; \WinExec
    0055F134    |.^\EB E1           \jmp short SourceFo.0055F117         ; 循环打开多个窗口

/****************************可疑*******************************/
00412F4D    |.  807D FF 00         cmp byte ptr ss:[ebp-1],0
00412F51    |.  74 0F              je short SourceFo.00412F62
00412F53    |.  E8 5803FFFF        call SourceFo.004032B0

0041A524    |.  8D45 D4            lea eax,dword ptr ss:[ebp-2C]
0041A527    |.  50                 push eax                               ; /pSystemInfo
0041A528    |.  E8 0FC4FEFF        call <jmp.&kernel32.GetSystemInfo>     ; \GetSystemInfo
0041A52D    |.  8B55 FC            mov edx,dword ptr ss:[ebp-4]
0041A530    |.  8B4D F8            mov ecx,dword ptr ss:[ebp-8]
0041A533    |.  49                 dec ecx
0041A534    |.  78 33              js short SourceFo.0041A569
0041A536    |.  8D45 D4            lea eax,dword ptr ss:[ebp-2C]
0041A539    |.  66:8378 20 03      cmp word ptr ds:[eax+20],3
0041A53E    |.  74 10              je short SourceFo.0041A550

; ???
00412F21    |.  837B 04 00      cmp dword ptr ds:[ebx+4],0
00412F25    |.  7D 24           jge short SourceFo.00412F4B

; ???
00412F4D    |.  807D FF 00       cmp byte ptr ss:[ebp-1],0
00412F51    |.  74 0F            je short SOURCEFO.00412F62
00412F53    |.  E8 5803FFFF      call SOURCEFO.004032B0

; eax = "0123456789abcdeffedcba9876543210"
005096B0    |.  8D45 A4         lea eax,dword ptr ss:[ebp-5C]
005096B3    |.  E8 3CFFFFFF     call SourceFo.005095F4

; 将这里的 机器码 3D 508D0F00 修改为 3D 00902200
00564168     .  3D 508D0F00     cmp eax,0F8D50
0056416D     .  0F8E F7000000   jle SourceFo.0056426A
00564173     .  33D2            xor edx,edx

; 将这里的 机器码 3D 5F890F00 修改为 3D 00902200
00567DFC     .  3D 5F890F00      cmp eax,0F895F
00567E01     .  7E 13            jle short SOURCEFO.00567E16
00567E03     .  E8 50DDFEFF      call SOURCEFO.00555B58

; ??? 在打开文件License.dat之后多次调用
00412F53    |.  E8 5803FFFF      call SOURCEFO.004032B0

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 1
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
2
看的晕,从来不用这些软件,除了VA以外.
2005-3-3 21:38
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
3
这个程序含有恶意代码,建议大家不要盲目调试,以前就有兄弟们讨论过了。

要下断RegDeleteKeyA,否则被它发现你在调试,会删掉你的注册表中的一个整个主键,如果你没有备份注册表的话,没办法了,只能重装系统。

恶毒,大家小心!
2005-3-3 22:38
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
高,这样的软件我是从来就不用的。
2005-3-3 23:19
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
http://wh.onlinedown.net:88/down/sourceformatx256cn.exe
国产的。不是什么好货
2005-3-4 09:41
0
雪    币: 3246
活跃值: (374)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
6
这个软件已被列入黑名单
2005-3-4 10:31
0
雪    币: 165
活跃值: (1486)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
真卑鄙,居然删除注册表,没有任何的技术含量
2005-3-4 13:16
0
雪    币: 214
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
恶心
2005-3-4 16:45
0
雪    币: 1829
活跃值: (1377)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
9
可惜我还没有看懂加密算法,他是用文件注册的,我很怕作者把关键代码加密,用机器信息作密钥,写入注册文件,然后运行时用内存补丁技术把代码写进去,如果是这样我可就没有办法了
2005-3-4 23:00
0
雪    币: 1829
活跃值: (1377)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
10
惨了,好像就是这样的......
7456!不行,我要想想办法,

3楼的弟兄说有朋友讨论过这个问题,有没有人破解了的?
拿破文出来交流一下啊
2005-3-4 23:23
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
11
没有破文...
2005-3-5 09:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
好可怕的软件
2005-3-10 10:36
0
雪    币: 117
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
加入黑名单
2005-3-10 10:55
0
游客
登录 | 注册 方可回帖
返回
//