能力值:
( LV12,RANK:660 )
|
-
-
2 楼
不用注册表也可以在安装的时候在硬盘的某处做了记号,比如建立一个文件,然后每次启动获取该文件的创建时间然后跟当前时间比较等。
|
能力值:
( LV6,RANK:90 )
|
-
-
3 楼
我大概看了一下,注册文件叫 table.cus .用 filemon 看到的。该文件是启动时判断的。你可以先新建一个,然后在OD中 table.cus 关键字上下断,就可以找到了。我没跟下去。不知道下来怎么样,你自己看吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
应该是ACP类加密吧。删了就Ok了
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
已经找到检测时间限制的三个点,
已改变的文件:
C:\WINDOWS\system32\mspromat.sys
已改变的注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E4ftjEwfsE-D4rerDE-Wrf34e-3fErd-fgrFrEW}\{LGRef354G-vdR567-LkjU89f}
键值 "default": 从 "1039544093" 到 "1039932897"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E4ftjEwfsE-D4rerDE-Wrf34e-3fErd-fgrFrEW}\{LGRef354G-vdR567-LkjU89f}
键值 "sys": 从 "2" 到 "14403"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
键值 "Seed": 二进制数据已更改
必须删除以上的文件和注册表子键才能解除。
|
|
|
|
