【文章标题】: 数据被狂删23G,血流成河黄沙漫天,小小软件竟暗藏森然杀机
【文章作者】: 爱琴海
【软件大小】: < 1Mb
【保护方式】: 注册码授权+反调试+恶意指令
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: Ollydbg、PEID、Lordpe、Stud_PE、UltraEdit、VC、VB
【操作平台】: WIN32
【软件介绍】: 一款国产小软件,暗藏杀机
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
感谢elianmeng制作的测试Demo样品,没仔细看,有需要的请按此样品进行分析:
http://bbs.pediy.com/showthread.php?t=156328写在前头:
[文章篇幅比较大,已作为附件上传,正文请见附件PDF]
本文记叙了一次难忘的逆向分析经历,犹如身处战场,一不小心数据被狂删23G,黄沙漫天,刀光血影,一个小小的国产软件竟然暗藏森然杀机,试看我是如何兵来将挡,水来土掩。
文笔不是很好,水平也很有限,只是希望能给新手分享下教训和经验。
另外,既然开了贴就必须申明本文的立场,我对软件作者绝无任何恶意,没有因此谋取任何利益,且本文隐匿与软件名称、出处相关的任何信息,如果有些朋友认出了该软件也请不要在跟帖中写出,并请论坛管理人员监督。相信软件作者也是混迹解密圈的人物,如果看到本文请及时更新相关防护措施。
目录:
写在前头-----------------------------------------------------------1
正文第一部分:刺探敌情,轻敌被误导---------------------------------1
正文第二部分:短兵相接,首战死得难看-------------------------------1
正文第三部分:稳扎稳打,对抗反调试---------------------------------3
3.1、OD载入瞬间关机,拆解TLS Callbacks反调试-----------------------3
3.2、拆解程序启动时的虚拟机环境检测--------------------------------7
3.3、拆解程序启动时的反调试恶意删除电脑文件-----------------------10
3.4、拆解运行过程中的实时反调试-----------------------------------12
正文第四部分:直捣黄龙,分析注册算法------------------------------24
正文第五部分:破解算法,编写注册机--------------------------------33
正文第六部分:还有埋伏,缺少功能模块------------------------------37
正文第七部分:凯旋归来,谈谈感想----------------------------------37
半夜三更太累,各位朋友晚安。
[课程]Linux pwn 探索篇!