[原创]数据被狂删23G，血流成河黄沙漫天，小小软件竟暗藏森然杀机-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]数据被狂删23G，血流成河黄沙漫天，小小软件竟暗藏森然杀机

发表于: 2012-9-22 02:52 63260

[原创]数据被狂删23G，血流成河黄沙漫天，小小软件竟暗藏森然杀机

爱琴海

2012-9-22 02:52

63260

【文章标题】: 数据被狂删23G，血流成河黄沙漫天，小小软件竟暗藏森然杀机
【文章作者】: 爱琴海
【软件大小】: < 1Mb
【保护方式】: 注册码授权+反调试+恶意指令
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: Ollydbg、PEID、Lordpe、Stud_PE、UltraEdit、VC、VB
【操作平台】: WIN32
【软件介绍】: 一款国产小软件，暗藏杀机
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------

感谢elianmeng制作的测试Demo样品，没仔细看，有需要的请按此样品进行分析：
http://bbs.pediy.com/showthread.php?t=156328

写在前头： [文章篇幅比较大，已作为附件上传，正文请见附件PDF]

本文记叙了一次难忘的逆向分析经历，犹如身处战场，一不小心数据被狂删23G，黄沙漫天，刀光血影，一个小小的国产软件竟然暗藏森然杀机，试看我是如何兵来将挡，水来土掩。

文笔不是很好，水平也很有限，只是希望能给新手分享下教训和经验。

另外，既然开了贴就必须申明本文的立场，我对软件作者绝无任何恶意，没有因此谋取任何利益，且本文隐匿与软件名称、出处相关的任何信息，如果有些朋友认出了该软件也请不要在跟帖中写出，并请论坛管理人员监督。相信软件作者也是混迹解密圈的人物，如果看到本文请及时更新相关防护措施。

目录：

写在前头-----------------------------------------------------------1
正文第一部分：刺探敌情，轻敌被误导---------------------------------1
正文第二部分：短兵相接，首战死得难看-------------------------------1
正文第三部分：稳扎稳打，对抗反调试---------------------------------3
3.1、OD载入瞬间关机，拆解TLS Callbacks反调试-----------------------3
3.2、拆解程序启动时的虚拟机环境检测--------------------------------7
3.3、拆解程序启动时的反调试恶意删除电脑文件-----------------------10
3.4、拆解运行过程中的实时反调试-----------------------------------12
正文第四部分：直捣黄龙，分析注册算法------------------------------24
正文第五部分：破解算法，编写注册机--------------------------------33
正文第六部分：还有埋伏，缺少功能模块------------------------------37
正文第七部分：凯旋归来，谈谈感想----------------------------------37

半夜三更太累，各位朋友晚安。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

正文.pdf （383.92kb，1766次下载）

收藏・75

免费・6

支持

最新回复 (130) 1 2 3 4 5 6 ▶
littlewisp 雪币： 5303 活跃值： (3694) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 2 楼帖子已经拜读，反调试手段一般。删数据太恶毒了 2012-9-22 06:35 0
wxq 雪币： 498 活跃值： (1552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 212 粉丝 1 关注私信	wxq 3 楼拜读完了，楼主强大。删文件貌似是违法的。 2012-9-22 08:17 0
heiketian 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	heiketian 4 楼学习完毕，文章写的很透彻。看完就能学到东西，这个是最关键的。再次表示感谢 2012-9-22 08:24 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 5 楼好像很有意思，我想看看 2012-9-22 09:05 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 6 楼学习了。楼主用的OD有StrongOD插件没啊 2012-9-22 09:06 0
zhujian 雪币： 1254 活跃值： (735) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 7 楼看标题感觉就像金庸的小说，有点意思。 2012-9-22 09:16 0
专业路过雪币： 538 活跃值： (264) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 116 粉丝 1 关注私信	专业路过 1 8 楼我一般调试的时候都会把一下hips开启(比如很老的SSM或者科莫多),这样在调试的时候可以拦截到很多恶意行为,关机,打开进程,结束进程,键盘钩子,格硬盘什么的通通被发现可以省掉很多事 2012-9-22 10:05 0
yxgbo 雪币： 34 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	yxgbo 9 楼挺好，如果作者在关键地方加点壳就比较恶心了。。。 2012-9-22 10:10 0
tjszlqq 雪币： 1327 活跃值： (2311) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 884 粉丝 2 关注私信	tjszlqq 1 10 楼重出江湖啊，可喜，可贺。为啥这么久不来论坛啊 2012-9-22 10:27 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 11 楼前排支持，现在都在虚拟机调试不明物体了 2012-9-22 10:36 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 12 楼赶上了太好了 2012-9-22 10:41 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 259 关注私信	riusksk 41 13 楼惊现当年一个熟悉ID，又重出江湖了，哈哈…… 2012-9-22 10:42 0
技术生命雪币： 342 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 14 楼看完了，楼主文笔不错，反调试一般，就是太多了 2012-9-22 11:04 0
小菜鸟一雪币： 1119 活跃值： (4192) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 15 楼重出江湖 2012-9-22 11:12 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 16 楼拜读了....有点意思的软件...我调试从来不管..来了就干..没遇到过这种..遇到了我就惨了..没任何还原..没任何备份..擦.... 膜拜了楼主的文章以后看来要注意了. 2012-9-22 11:18 0
无常pl 雪币： 122 活跃值： (75) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 28 粉丝 1 关注私信	无常pl 2 17 楼分析的好详细啊 2012-9-22 11:25 0
yjd 雪币： 2882 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 18 楼，按理说应该马革裹尸还了，幸好我穿着一层金丝甲，重要盘区受影子系统保护，重新启动电脑后啥事也没有，哥～原地满血复活啦。 --- 赞。有个地方没隐藏掉，看到mail了。 2012-9-22 12:03 0
sunflover 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 89 粉丝 0 关注私信	sunflover 19 楼感谢lz深夜写出这等好文 2012-9-22 13:11 0
狂起来雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 146 粉丝 0 关注私信	狂起来 20 楼感谢lz感谢lz 2012-9-22 14:47 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 21 楼血泪史啊，以后得进虚拟机去调戏。 2012-9-22 16:08 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 22 楼有幸在第一次中招之前，看到楼主的大作。 2012-9-22 16:38 0
wxq 雪币： 498 活跃值： (1552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 212 粉丝 1 关注私信	wxq 23 楼 mail没看到，看到网址了软件挺简单，心却这么狠。 2012-9-22 17:01 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 24 楼楼主油菜花~~ 2012-9-22 19:22 0
fireworld 雪币： 185 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 334 粉丝 0 关注私信	fireworld 25 楼想起之前的几个加密数据来敲诈的病毒 2012-9-22 19:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

爱琴海

发帖

660

回帖

920

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (130) 1 2 3 4 5 6 ▶
littlewisp 雪币： 5303 活跃值： (3694) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 2 楼帖子已经拜读，反调试手段一般。删数据太恶毒了 2012-9-22 06:35 0
wxq 雪币： 498 活跃值： (1552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 212 粉丝 1 关注私信	wxq 3 楼拜读完了，楼主强大。删文件貌似是违法的。 2012-9-22 08:17 0
heiketian 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	heiketian 4 楼学习完毕，文章写的很透彻。看完就能学到东西，这个是最关键的。再次表示感谢 2012-9-22 08:24 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 5 楼好像很有意思，我想看看 2012-9-22 09:05 0
ddsoft 雪币： 544 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 331 粉丝 0 关注私信	ddsoft 6 楼学习了。楼主用的OD有StrongOD插件没啊 2012-9-22 09:06 0
zhujian 雪币： 1254 活跃值： (735) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 255 粉丝 1 关注私信	zhujian 2 7 楼看标题感觉就像金庸的小说，有点意思。 2012-9-22 09:16 0
专业路过雪币： 538 活跃值： (264) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 116 粉丝 1 关注私信	专业路过 1 8 楼我一般调试的时候都会把一下hips开启(比如很老的SSM或者科莫多),这样在调试的时候可以拦截到很多恶意行为,关机,打开进程,结束进程,键盘钩子,格硬盘什么的通通被发现可以省掉很多事 2012-9-22 10:05 0
yxgbo 雪币： 34 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 86 粉丝 0 关注私信	yxgbo 9 楼挺好，如果作者在关键地方加点壳就比较恶心了。。。 2012-9-22 10:10 0
tjszlqq 雪币： 1327 活跃值： (2311) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 884 粉丝 2 关注私信	tjszlqq 1 10 楼重出江湖啊，可喜，可贺。为啥这么久不来论坛啊 2012-9-22 10:27 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 11 楼前排支持，现在都在虚拟机调试不明物体了 2012-9-22 10:36 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 12 楼赶上了太好了 2012-9-22 10:41 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 259 关注私信	riusksk 41 13 楼惊现当年一个熟悉ID，又重出江湖了，哈哈…… 2012-9-22 10:42 0
技术生命雪币： 342 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 14 楼看完了，楼主文笔不错，反调试一般，就是太多了 2012-9-22 11:04 0
小菜鸟一雪币： 1119 活跃值： (4192) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 15 楼重出江湖 2012-9-22 11:12 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 16 楼拜读了....有点意思的软件...我调试从来不管..来了就干..没遇到过这种..遇到了我就惨了..没任何还原..没任何备份..擦.... 膜拜了楼主的文章以后看来要注意了. 2012-9-22 11:18 0
无常pl 雪币： 122 活跃值： (75) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 28 粉丝 1 关注私信	无常pl 2 17 楼分析的好详细啊 2012-9-22 11:25 0
yjd 雪币： 2882 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 18 楼，按理说应该马革裹尸还了，幸好我穿着一层金丝甲，重要盘区受影子系统保护，重新启动电脑后啥事也没有，哥～原地满血复活啦。 --- 赞。有个地方没隐藏掉，看到mail了。 2012-9-22 12:03 0
sunflover 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 89 粉丝 0 关注私信	sunflover 19 楼感谢lz深夜写出这等好文 2012-9-22 13:11 0
狂起来雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 146 粉丝 0 关注私信	狂起来 20 楼感谢lz感谢lz 2012-9-22 14:47 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 21 楼血泪史啊，以后得进虚拟机去调戏。 2012-9-22 16:08 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 22 楼有幸在第一次中招之前，看到楼主的大作。 2012-9-22 16:38 0
wxq 雪币： 498 活跃值： (1552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 212 粉丝 1 关注私信	wxq 23 楼 mail没看到，看到网址了软件挺简单，心却这么狠。 2012-9-22 17:01 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 24 楼楼主油菜花~~ 2012-9-22 19:22 0
fireworld 雪币： 185 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 334 粉丝 0 关注私信	fireworld 25 楼想起之前的几个加密数据来敲诈的病毒 2012-9-22 19:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复