一个含有恶意代码的源代码自动格式化工具-软件逆向-看雪-安全社区|安全招聘|kanxue.com

一个含有恶意代码的源代码自动格式化工具

发表于: 2005-3-3 21:12 7943

一个含有恶意代码的源代码自动格式化工具

backer

2005-3-3 21:12

7943

【软件名称】： SourceFormatX 2.56
【使用工具】： Fi,Ollydbg,ImportREC
【软件简介】： SourceFormatX 是一个强大的源代码自动格式化,缩进,排版,美化工具。
            它可以格式化 C, C++、Java、C#、Object Pascal、PHP、ASP、JSP、VB、
            VB.NET、VBScript、JavaScript 和 HTML Components源代码。
            它还可以将源代码输出为语法高亮显示的 HTML 或 RTF 文件。
【软件大小】： 731 KB
【编写语言】： Borland Delphi 5
【加壳方式】： PECompact 1.68 - 1.84
【保护方式】：文件验证(License.dat), 破解过程中发现恶意代码，会导致系统崩溃，请高手看看用什么方法可以破解
【软件下载】： http://wh.onlinedown.net:88/down/sourceformatx256cn.exe

/***********************************脱壳**************************************/

; 跟踪到00625556处
00625556    C2 0400 retn 4

; 此处就是OEP,记得脱壳后重建输入表,我用的是ImportREC
00573258    55       push ebp
/********************************去掉OD检查***********************************/

; 调用检查OD的函数
0057330F    E8 002EFEFF call SourceFo.00556114
...
...
; 将这里的机器码 74(jz) 修改为 EB(jmp)
0055614C    74 23       jz short upSource.00556171

; 调用检查OD的函数
005774EA    E8 CDB4FFFF call SourceFo.005729BC
; 将这里的机器码 74(jz) 修改为 EB(jmp)
005729F2    74 42       je short SourceFo.00572A36

; 将这里的机器码 74(jz) 修改为 EB(jmp)
0055F076    74 42       je short SourceFo.0055F0BA

/*****************************去掉文件修改检查********************************/

; 检查执行程序是否被修改
005774F4    E8 97B1FFFF call SourceFo.00572690
; 将这里的机器码 74(jz) 修改为 EB(jmp)
005723AC    74 55       je short SourceFo.00572403

;
0044EA65    E8 A69BFFFF call SourceFo.00448610
0044861D    74 17       je short SourceFo.00448636

/*******************************去掉DeDe检查**********************************/

; 将这里的机器码 74(jz) 修改为 EB(jmp)
005727F4    74 28       je short SourceFo.0057281E

0055641C    74 28       je short SourceFo.00556446

/*****************************去掉Filemon检查*********************************/

; 将这里的机器码 74(jz) 修改为 EB(jmp)
005560C4    74 20       je short SourceFo.005560E6

/*****************************去掉Snacker检查*********************************/

; 将这里的机器码 74(jz) 修改为 EB(jmp)
005560ED 74 20       je short SourceFo.0055610F

/*************************其他各类调试软件的驱动句柄检测**********************/
00573314 E8 632CFEFF call SourceFo.00555F7C

; 关键CALL, 以 eax 传递参数,
005774EF B8 54885700 mov eax,SourceFo.00578854 ;  ASCII "License.dat"
005774F4 E8 97B1FFFF call SourceFo.00572690

/****************************执行文件尺寸检查*********************************/

0055F105 |.  6A 00          push 0                            ; /pFileSizeHigh = NULL
0055F107 |.  8B45 FC       mov eax,dword ptr ss:[ebp-4]       ; |
0055F10A |.  50             push eax                            ; |hFile
0055F10B |.  E8 D477EAFF    call <jmp.&kernel32.GetFileSize>    ; \GetFileSize

; 将这里的机器码 3D A8421200 修改为 3D 00E02200(00902200)
0055F110 |.  3D A8421200    cmp eax,1242A8
0055F115 |.  7E 1F          jle short SourceFo.0055F136

// ？？？
0055EF71 75 1C       jnz short SourceFo.0055EF8F

/******************************修理非法用户***********************************/
0055F117 |> /6A 03          /push 3
0055F119 |. |B8 B8F45500    |mov eax,SourceFo.0055F4B8          ;  ASCII "048229125055114025094102049210040021027068051099091168132234034161018208011"
0055F11E |. |8D55 E8       |lea edx,dword ptr ss:[ebp-18]
0055F121 |. |E8 9625EFFF    |call SourceFo.004516BC
0055F126 |. |8B45 E8       |mov eax,dword ptr ss:[ebp-18]
0055F129 |. |E8 124FEAFF    |call SourceFo.00404040
0055F12E |. |50             |push eax                         ; |CmdLine
0055F12F |. |E8 4079EAFF    |call <jmp.&kernel32.WinExec>       ; \WinExec
0055F134 |.^\EB E1          \jmp short SourceFo.0055F117       ; 循环打开多个窗口

/****************************可疑*******************************/
00412F4D |.  807D FF 00       cmp byte ptr ss:[ebp-1],0
00412F51 |.  74 0F             je short SourceFo.00412F62
00412F53 |.  E8 5803FFFF       call SourceFo.004032B0

0041A524 |.  8D45 D4          lea eax,dword ptr ss:[ebp-2C]
0041A527 |.  50                push eax                            ; /pSystemInfo
0041A528 |.  E8 0FC4FEFF       call <jmp.&kernel32.GetSystemInfo>    ; \GetSystemInfo
0041A52D |.  8B55 FC          mov edx,dword ptr ss:[ebp-4]
0041A530 |.  8B4D F8          mov ecx,dword ptr ss:[ebp-8]
0041A533 |.  49                dec ecx
0041A534 |.  78 33             js short SourceFo.0041A569
0041A536 |.  8D45 D4          lea eax,dword ptr ss:[ebp-2C]
0041A539 |.  66:8378 20 03    cmp word ptr ds:[eax+20],3
0041A53E |.  74 10             je short SourceFo.0041A550

; ???
00412F21 |.  837B 04 00    cmp dword ptr ds:[ebx+4],0
00412F25 |.  7D 24          jge short SourceFo.00412F4B

; ???
00412F4D |.  807D FF 00    cmp byte ptr ss:[ebp-1],0
00412F51 |.  74 0F          je short SOURCEFO.00412F62
00412F53 |.  E8 5803FFFF    call SOURCEFO.004032B0

; eax = "0123456789abcdeffedcba9876543210"
005096B0 |.  8D45 A4       lea eax,dword ptr ss:[ebp-5C]
005096B3 |.  E8 3CFFFFFF    call SourceFo.005095F4

; 将这里的机器码 3D 508D0F00 修改为 3D 00902200
00564168    .  3D 508D0F00    cmp eax,0F8D50
0056416D    .  0F8E F7000000 jle SourceFo.0056426A
00564173    .  33D2          xor edx,edx

; 将这里的机器码 3D 5F890F00 修改为 3D 00902200
00567DFC    .  3D 5F890F00    cmp eax,0F895F
00567E01    .  7E 13          jle short SOURCEFO.00567E16
00567E03    .  E8 50DDFEFF    call SOURCEFO.00555B58

; ??? 在打开文件License.dat之后多次调用
00412F53 |.  E8 5803FFFF    call SOURCEFO.004032B0

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (12)
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 2 楼看的晕,从来不用这些软件,除了VA以外. 2005-3-3 21:38 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 3 楼这个程序含有恶意代码，建议大家不要盲目调试，以前就有兄弟们讨论过了。要下断RegDeleteKeyA，否则被它发现你在调试，会删掉你的注册表中的一个整个主键，如果你没有备份注册表的话，没办法了，只能重装系统。恶毒，大家小心！ 2005-3-3 22:38 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 4 楼高，这样的软件我是从来就不用的。 2005-3-3 23:19 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 5 楼 http://wh.onlinedown.net:88/down/sourceformatx256cn.exe 国产的。不是什么好货 2005-3-4 09:41 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 6 楼这个软件已被列入黑名单 2005-3-4 10:31 0
jet_coder 雪币： 165 活跃值： (1486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	jet_coder 7 楼真卑鄙，居然删除注册表，没有任何的技术含量 2005-3-4 13:16 0
davidnash 雪币： 214 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 81 粉丝 0 关注私信	davidnash 1 8 楼恶心 2005-3-4 16:45 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 9 楼可惜我还没有看懂加密算法，他是用文件注册的，我很怕作者把关键代码加密，用机器信息作密钥，写入注册文件，然后运行时用内存补丁技术把代码写进去，如果是这样我可就没有办法了 2005-3-4 23:00 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 10 楼惨了，好像就是这样的...... 7456！不行，我要想想办法， 3楼的弟兄说有朋友讨论过这个问题，有没有人破解了的？拿破文出来交流一下啊 2005-3-4 23:23 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 11 楼没有破文... 2005-3-5 09:04 0
eyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	eyou 12 楼好可怕的软件 2005-3-10 10:36 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 13 楼加入黑名单 2005-3-10 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

backer

发帖

325

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
ocsdno 雪币： 1 能力值： (RANK：10 ) 在线值：发帖 4 回帖 123 粉丝 0 关注私信	ocsdno 2 楼看的晕,从来不用这些软件,除了VA以外. 2005-3-3 21:38 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 3 楼这个程序含有恶意代码，建议大家不要盲目调试，以前就有兄弟们讨论过了。要下断RegDeleteKeyA，否则被它发现你在调试，会删掉你的注册表中的一个整个主键，如果你没有备份注册表的话，没办法了，只能重装系统。恶毒，大家小心！ 2005-3-3 22:38 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 4 楼高，这样的软件我是从来就不用的。 2005-3-3 23:19 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 5 楼 http://wh.onlinedown.net:88/down/sourceformatx256cn.exe 国产的。不是什么好货 2005-3-4 09:41 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 6 楼这个软件已被列入黑名单 2005-3-4 10:31 0
jet_coder 雪币： 165 活跃值： (1486) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	jet_coder 7 楼真卑鄙，居然删除注册表，没有任何的技术含量 2005-3-4 13:16 0
davidnash 雪币： 214 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 81 粉丝 0 关注私信	davidnash 1 8 楼恶心 2005-3-4 16:45 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 9 楼可惜我还没有看懂加密算法，他是用文件注册的，我很怕作者把关键代码加密，用机器信息作密钥，写入注册文件，然后运行时用内存补丁技术把代码写进去，如果是这样我可就没有办法了 2005-3-4 23:00 0
backer 雪币： 1829 活跃值： (1377) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 325 粉丝 119 关注私信	backer 1 10 楼惨了，好像就是这样的...... 7456！不行，我要想想办法， 3楼的弟兄说有朋友讨论过这个问题，有没有人破解了的？拿破文出来交流一下啊 2005-3-4 23:23 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 11 楼没有破文... 2005-3-5 09:04 0
eyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	eyou 12 楼好可怕的软件 2005-3-10 10:36 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 13 楼加入黑名单 2005-3-10 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复