[求助]北信源卸载代码分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]北信源卸载代码分析

发表于: 2011-12-4 21:46 22416

[求助]北信源卸载代码分析

softsword

2011-12-4 21:46

22416

各位，下面是一段北信源的卸载程序中检查卸载密码的一段代码。
如果密码不对的话，程序会禁止卸载。
我想把它改成不论任何密码都能卸载，我已经定位到核心代码就是这一段了，各位帮看一下吧，多谢！

代码：

/*462EE0*/  push    ebx
/*462EE1*/  push    esi
/*462EE2*/  push    edi
/*462EE3*/  mov     edi, ecx
/*462EE5*/  mov     ecx, dword ptr [5395D0]
/*462EEB*/  mov     eax, dword ptr [ecx]
/*462EED*/  call    dword ptr [eax+A8]
/*462EF3*/  test    eax, eax
/*462EF5*/  jnz     short 00462F30
/*462EF7*/  mov     ecx, dword ptr [5395D0]
/*462EFD*/  mov     edx, dword ptr [ecx]
/*462EFF*/  call    dword ptr [edx+90]
/*462F05*/  test    al, al
/*462F07*/  je      short 00462F30
/*462F09*/  lea     esp, dword ptr [esp]
/*462F10*/  mov     ecx, dword ptr [5395D0]
/*462F16*/  mov     eax, dword ptr [ecx]
/*462F18*/  call    dword ptr [eax+94]
/*462F1E*/  mov     ecx, dword ptr [5395D0]
/*462F24*/  mov     edx, dword ptr [ecx]
/*462F26*/  call    dword ptr [edx+90]
/*462F2C*/  test    al, al
/*462F2E*/  jnz     short 00462F10
/*462F30*/  mov     eax, dword ptr [edi+1AC]
/*462F36*/  test    eax, eax
/*462F38*/  jnz     short 00462F47
/*462F3A*/  mov     ecx, edi
/*462F3C*/  call    00429230
/*462F41*/  mov     dword ptr [edi+1AC], eax
/*462F47*/  mov     eax, dword ptr [edi+1AC]
/*462F4D*/  test    eax, eax
/*462F4F*/  je      short 00462F59
/*462F51*/  mov     ebx, dword ptr [eax+114]
/*462F57*/  jmp     short 00462F5B
/*462F59*/  xor     ebx, ebx
/*462F5B*/  mov     eax, dword ptr [edi+1A0]
/*462F61*/  xor     esi, esi
/*462F63*/  test    al, 0A
/*462F65*/  je      short 00462F7F
/*462F67*/  mov     cl, al
/*462F69*/  and     cl, 10
/*462F6C*/  neg     cl
/*462F6E*/  sbb     ecx, ecx
/*462F70*/  add     ecx, 4
/*462F73*/  test    al, al
/*462F75*/  mov     esi, ecx
/*462F77*/  jns     short 00462F7F
/*462F79*/  or      esi, 100
/*462F7F*/  test    al, 4
/*462F81*/  je      short 00462F8C
/*462F83*/  movsx   esi, al
/*462F86*/  and     esi, 10
/*462F89*/  shr     esi, 4
/*462F8C*/  test    ah, 1
/*462F8F*/  je      short 00462F96
/*462F91*/  or      esi, 30
/*462F94*/  jmp     short 00462FB2
/*462F96*/  test    ah, 2
/*462F99*/  je      short 00462FA0
/*462F9B*/  or      esi, 10
/*462F9E*/  jmp     short 00462FB2
/*462FA0*/  test    ah, 8
/*462FA3*/  je      short 00462FAA
/*462FA5*/  or      esi, 40
/*462FA8*/  jmp     short 00462FB2
/*462FAA*/  test    ah, 4
/*462FAD*/  je      short 00462FB2
/*462FAF*/  or      esi, 20
/*462FB2*/  test    ah, ah
/*462FB4*/  jns     short 00462FBC
/*462FB6*/  or      esi, 40000
/*462FBC*/  mov     ecx, dword ptr [5395D0]
/*462FC2*/  mov     edx, dword ptr [ecx]
/*462FC4*/  call    dword ptr [edx+B8]
/*462FCA*/  cmp     eax, 2
/*462FCD*/  jnz     short 00462FD5
/*462FCF*/  or      esi, 180000
/*462FD5*/  test    ebx, ebx
/*462FD7*/  jnz     short 00462FDF
/*462FD9*/  or      esi, 2000
/*462FDF*/  mov     eax, dword ptr [edi+1A4]
/*462FE5*/  mov     ecx, dword ptr [edi+1A8]
/*462FEB*/  push    esi
/*462FEC*/  push    eax
/*462FED*/  push    ecx
/*462FEE*/  push    ebx
/*462FEF*/  call    dword ptr [<&USER32.MessageBoxA>]
/*462FF5*/  pop     edi
/*462FF6*/  dec     eax
/*462FF7*/  cmp     eax, 6
/*462FFA*/  pop     esi
/*462FFB*/  pop     ebx
/*462FFC*/  ja      short 00463017
/*462FFE*/  jmp     dword ptr [eax*4+463020]
/*463005*/  mov     eax, 13EC
/*46300A*/  retn
/*46300B*/  mov     eax, 13EF
/*463010*/  retn
/*463011*/  mov     eax, 13F0
/*463016*/  retn
/*463017*/  mov     eax, 13ED
/*46301C*/  retn

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・4

免费・0

支持

最新回复 (12)
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 2 楼我就看懂一个MessageBox，那些地址静态能看的懂的是大仙 2011-12-4 22:01 0
softsword 雪币： 153 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	softsword 3 楼哎，想上传给大家帮看看，但是怕大家万一不理解，因为北信源这玩意儿就是一木马！不过是公安部认可的木马而已，用于企业内部网管监控员工的一举一动，我分析过，它采取了隐藏服务、双进程守护、安全模式加载驱动的方式来保护自己，简直就是一流氓！这玩意儿会被 360 当木马杀的，怕上传一个大家以为是病毒，不敢动了 2011-12-4 22:13 0
softsword 雪币： 153 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	softsword 4 楼 00462FEB \|. 56 push esi ; /Style 00462FEC \|. 50 push eax ; \|Title 00462FED \|. 51 push ecx ; \|Text 00462FEE \|. 53 push ebx ; \|hOwner 00462FEF \|. FF15 9CD64D00 call dword ptr [<&USER32.MessageBoxA>] ; \MessageBoxA 看样子 eax ebx ecx ecx 是为 MessageBoxA 准备参数的 2011-12-4 22:16 0
softsword 雪币： 153 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	softsword 5 楼看样子是又一次没下文了 2011-12-8 14:10 0
sunwayking 雪币： 252 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 115 粉丝 0 关注私信	sunwayking 6 楼我这的北信源木马的卸载程序跟你的不一样. 0040C3EC . 51 push ecx 0040C3ED . 50 push eax 0040C3EE . E8 10F90A00 call 004BBD03 0040C3F3 . 8BD8 mov ebx, eax 0040C3F5 . 59 pop ecx 0040C3F6 . F7DB neg ebx 0040C3F8 . 59 pop ecx 0040C3F9 . 1ADB sbb bl, bl 0040C3FB . 8D4D E8 lea ecx, dword ptr [ebp-18] 0040C3FE . FEC3 inc bl 0040C400 . E8 DB99FFFF call 00405DE0 0040C405 . 84DB test bl, bl 0040C407 . 5B pop ebx 0040C408 . 74 11 je short 0040C41B ;改成JMP就OK 0040C40A . 8B06 mov eax, dword ptr [esi] 0040C40C . 68 EC130000 push 13EC 0040C411 . 8BCE mov ecx, esi 0040C413 . FF90 00030000 call dword ptr [eax+300] ;MessageBoxA 0040C419 . EB 5F jmp short 0040C47A 0040C41B > 68 8CD54D00 push 004DD58C ; ASCII "EDP" 0040C420 . 8D4D EC lea ecx, dword ptr [ebp-14] 0040C423 . E8 DA99FFFF call 00405E02 0040C428 . 8365 FC 00 and dword ptr [ebp-4], 0 0040C42C . 6A 05 push 5 0040C42E . E8 F6F9FFFF call 0040BE29 0040C433 . 8BC8 mov ecx, eax 0040C435 . E8 48AEFFFF call 00407282 0040C43A . 50 push eax 0040C43B . 8D4D F0 lea ecx, dword ptr [ebp-10] 2011-12-8 14:19 0
JansZhang 雪币： 165 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	JansZhang 7 楼我给你一个工具吧，可以直接卸载，就不放论坛了，免得很快失效，要得话密我，留邮箱我发给你。 2011-12-10 13:21 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 8 楼 2011更新的版本也能卸么? 准备用xuetr试试的，还没到这上面来。 2011-12-11 18:49 0
softsword 雪币： 153 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	softsword 9 楼 hoho，找到了： http://blog.csdn.net/davidhsing/article/details/7054407 2011-12-13 13:06 0
lankerr 雪币： 246 活跃值： (91) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 156 粉丝 1 关注私信	lankerr 10 楼卸载算法还简单，已实现算法机，因为涉及问题较大不作过多描述，楼主再多分析下。 2017-4-1 18:58 0
lankerr 雪币： 246 活跃值： (91) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 156 粉丝 1 关注私信	lankerr 11 楼 . 2017-4-1 19:03 0
caocaofff 雪币： 2989 活跃值： (2605) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 164 粉丝 2 关注私信	caocaofff 12 楼直接禁止它跟服务端通讯是否可以实现屏蔽？ 2023-3-6 15:50 0
肇事孤儿雪币： 30 活跃值： (3385) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 113 粉丝 9 关注私信	肇事孤儿 13 楼卸载太简单了，用OD载入uninstalledp.exe文件，ctrl+b二进制搜索837DE4010F85910000006A00,然后再jnz跳转上下断点，运行，随便输入卸载码，点击卸载，然后就断到断点了，双击Z标志位运行即可卸载了。注意：第一：文件有crc校验，直接修改文件不可以，程序不会出现界面第二：文件有校验，如果直接过校验或者直接使用内存补丁方式第三：作为很多国企使用地终端安全软件，其卸载方式确实太容易了。 2023-3-6 17:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

softsword

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
MagicFuzzX 雪币： 12 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 400 粉丝 1 关注私信	MagicFuzzX 2 楼我就看懂一个MessageBox，那些地址静态能看的懂的是大仙 2011-12-4 22:01 0
softsword 雪币： 153 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	softsword 3 楼哎，想上传给大家帮看看，但是怕大家万一不理解，因为北信源这玩意儿就是一木马！不过是公安部认可的木马而已，用于企业内部网管监控员工的一举一动，我分析过，它采取了隐藏服务、双进程守护、安全模式加载驱动的方式来保护自己，简直就是一流氓！这玩意儿会被 360 当木马杀的，怕上传一个大家以为是病毒，不敢动了 2011-12-4 22:13 0
softsword 雪币： 153 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	softsword 4 楼 00462FEB \|. 56 push esi ; /Style 00462FEC \|. 50 push eax ; \|Title 00462FED \|. 51 push ecx ; \|Text 00462FEE \|. 53 push ebx ; \|hOwner 00462FEF \|. FF15 9CD64D00 call dword ptr [<&USER32.MessageBoxA>] ; \MessageBoxA 看样子 eax ebx ecx ecx 是为 MessageBoxA 准备参数的 2011-12-4 22:16 0
softsword 雪币： 153 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	softsword 5 楼看样子是又一次没下文了 2011-12-8 14:10 0
sunwayking 雪币： 252 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 115 粉丝 0 关注私信	sunwayking 6 楼我这的北信源木马的卸载程序跟你的不一样. 0040C3EC . 51 push ecx 0040C3ED . 50 push eax 0040C3EE . E8 10F90A00 call 004BBD03 0040C3F3 . 8BD8 mov ebx, eax 0040C3F5 . 59 pop ecx 0040C3F6 . F7DB neg ebx 0040C3F8 . 59 pop ecx 0040C3F9 . 1ADB sbb bl, bl 0040C3FB . 8D4D E8 lea ecx, dword ptr [ebp-18] 0040C3FE . FEC3 inc bl 0040C400 . E8 DB99FFFF call 00405DE0 0040C405 . 84DB test bl, bl 0040C407 . 5B pop ebx 0040C408 . 74 11 je short 0040C41B ;改成JMP就OK 0040C40A . 8B06 mov eax, dword ptr [esi] 0040C40C . 68 EC130000 push 13EC 0040C411 . 8BCE mov ecx, esi 0040C413 . FF90 00030000 call dword ptr [eax+300] ;MessageBoxA 0040C419 . EB 5F jmp short 0040C47A 0040C41B > 68 8CD54D00 push 004DD58C ; ASCII "EDP" 0040C420 . 8D4D EC lea ecx, dword ptr [ebp-14] 0040C423 . E8 DA99FFFF call 00405E02 0040C428 . 8365 FC 00 and dword ptr [ebp-4], 0 0040C42C . 6A 05 push 5 0040C42E . E8 F6F9FFFF call 0040BE29 0040C433 . 8BC8 mov ecx, eax 0040C435 . E8 48AEFFFF call 00407282 0040C43A . 50 push eax 0040C43B . 8D4D F0 lea ecx, dword ptr [ebp-10] 2011-12-8 14:19 0
JansZhang 雪币： 165 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	JansZhang 7 楼我给你一个工具吧，可以直接卸载，就不放论坛了，免得很快失效，要得话密我，留邮箱我发给你。 2011-12-10 13:21 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 8 楼 2011更新的版本也能卸么? 准备用xuetr试试的，还没到这上面来。 2011-12-11 18:49 0
softsword 雪币： 153 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	softsword 9 楼 hoho，找到了： http://blog.csdn.net/davidhsing/article/details/7054407 2011-12-13 13:06 0
lankerr 雪币： 246 活跃值： (91) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 156 粉丝 1 关注私信	lankerr 10 楼卸载算法还简单，已实现算法机，因为涉及问题较大不作过多描述，楼主再多分析下。 2017-4-1 18:58 0
lankerr 雪币： 246 活跃值： (91) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 156 粉丝 1 关注私信	lankerr 11 楼 . 2017-4-1 19:03 0
caocaofff 雪币： 2989 活跃值： (2605) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 164 粉丝 2 关注私信	caocaofff 12 楼直接禁止它跟服务端通讯是否可以实现屏蔽？ 2023-3-6 15:50 0
肇事孤儿雪币： 30 活跃值： (3385) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 113 粉丝 9 关注私信	肇事孤儿 13 楼卸载太简单了，用OD载入uninstalledp.exe文件，ctrl+b二进制搜索837DE4010F85910000006A00,然后再jnz跳转上下断点，运行，随便输入卸载码，点击卸载，然后就断到断点了，双击Z标志位运行即可卸载了。注意：第一：文件有crc校验，直接修改文件不可以，程序不会出现界面第二：文件有校验，如果直接过校验或者直接使用内存补丁方式第三：作为很多国企使用地终端安全软件，其卸载方式确实太容易了。 2023-3-6 17:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复