首页
社区
课程
招聘
[原创]数据被狂删23G,血流成河黄沙漫天,小小软件竟暗藏森然杀机
发表于: 2012-9-22 02:52 63267

[原创]数据被狂删23G,血流成河黄沙漫天,小小软件竟暗藏森然杀机

2012-9-22 02:52
63267

【文章标题】: 数据被狂删23G,血流成河黄沙漫天,小小软件竟暗藏森然杀机
【文章作者】: 爱琴海
【软件大小】: < 1Mb
【保护方式】: 注册码授权+反调试+恶意指令
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: Ollydbg、PEID、Lordpe、Stud_PE、UltraEdit、VC、VB
【操作平台】: WIN32
【软件介绍】: 一款国产小软件,暗藏杀机
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------

感谢elianmeng制作的测试Demo样品,没仔细看,有需要的请按此样品进行分析:
http://bbs.pediy.com/showthread.php?t=156328

写在前头: [文章篇幅比较大,已作为附件上传,正文请见附件PDF]

本文记叙了一次难忘的逆向分析经历,犹如身处战场,一不小心数据被狂删23G,黄沙漫天,刀光血影,一个小小的国产软件竟然暗藏森然杀机,试看我是如何兵来将挡,水来土掩。

文笔不是很好,水平也很有限,只是希望能给新手分享下教训和经验。

另外,既然开了贴就必须申明本文的立场,我对软件作者绝无任何恶意,没有因此谋取任何利益,且本文隐匿与软件名称、出处相关的任何信息,如果有些朋友认出了该软件也请不要在跟帖中写出,并请论坛管理人员监督。相信软件作者也是混迹解密圈的人物,如果看到本文请及时更新相关防护措施。

目录:

写在前头-----------------------------------------------------------1
正文第一部分:刺探敌情,轻敌被误导---------------------------------1
正文第二部分:短兵相接,首战死得难看-------------------------------1
正文第三部分:稳扎稳打,对抗反调试---------------------------------3
3.1、OD载入瞬间关机,拆解TLS Callbacks反调试-----------------------3
3.2、拆解程序启动时的虚拟机环境检测--------------------------------7
3.3、拆解程序启动时的反调试恶意删除电脑文件-----------------------10
3.4、拆解运行过程中的实时反调试-----------------------------------12
正文第四部分:直捣黄龙,分析注册算法------------------------------24
正文第五部分:破解算法,编写注册机--------------------------------33
正文第六部分:还有埋伏,缺少功能模块------------------------------37
正文第七部分:凯旋归来,谈谈感想----------------------------------37

半夜三更太累,各位朋友晚安。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (130)
雪    币: 5347
活跃值: (3744)
能力值: ( LV13,RANK:283 )
在线值:
发帖
回帖
粉丝
2
帖子已经拜读,反调试手段一般。删数据太恶毒了
2012-9-22 06:35
0
雪    币: 498
活跃值: (1552)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wxq
3
拜读完了,楼主强大。删文件貌似是违法的。
2012-9-22 08:17
0
雪    币: 230
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
学习完毕,文章写的很透彻。看完就能学到东西,这个是最关键的。

再次表示感谢
2012-9-22 08:24
0
雪    币: 27
活跃值: (127)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
5
好像很有意思,我想看看
2012-9-22 09:05
0
雪    币: 544
活跃值: (55)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
学习了。楼主用的OD有StrongOD插件没啊
2012-9-22 09:06
0
雪    币: 1262
活跃值: (775)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
看标题感觉就像金庸的小说,有点意思。
2012-9-22 09:16
0
雪    币: 538
活跃值: (274)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
我一般调试的时候都会把一下hips开启(比如很老的SSM或者科莫多),这样在调试的时候可以拦截到很多恶意行为,关机,打开进程,结束进程,键盘钩子,格硬盘什么的通通被发现 可以省掉很多事
2012-9-22 10:05
0
雪    币: 34
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
挺好,如果作者在关键地方加点壳就比较恶心了。。。
2012-9-22 10:10
0
雪    币: 1377
活跃值: (2361)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
重出江湖啊,可喜,可贺。为啥这么久不来论坛啊
2012-9-22 10:27
0
雪    币: 114
活跃值: (180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
前排支持,现在都在虚拟机调试不明物体了
2012-9-22 10:36
0
雪    币: 291
活跃值: (48)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
赶上了 太好了
2012-9-22 10:41
0
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
13
惊现当年一个熟悉ID,又重出江湖了,哈哈……
2012-9-22 10:42
0
雪    币: 342
活跃值: (121)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
看完了,楼主文笔不错,反调试一般,就是太多了
2012-9-22 11:04
0
雪    币: 1155
活跃值: (4247)
能力值: ( LV5,RANK:69 )
在线值:
发帖
回帖
粉丝
15
重出江湖  
2012-9-22 11:12
0
雪    币: 107
活跃值: (404)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
拜读了....有点意思的软件...我调试从来不管..来了就干..没遇到过这种..遇到了我就惨了..没任何还原..没任何备份..擦....

膜拜了楼主的文章以后看来要注意了.
2012-9-22 11:18
0
雪    币: 122
活跃值: (75)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
17
分析的好详细啊
2012-9-22 11:25
0
雪    币: 2882
活跃值: (1279)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd
18
,按理说应该马革裹尸还了,
幸好我穿着一层金丝甲,重要盘区受影子系统保护,重新启动电脑后啥事也没有,哥~原地
满血复活啦。
---
赞。
有个地方没隐藏掉,看到mail了。
2012-9-22 12:03
0
雪    币: 25
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
感谢lz深夜写出这等好文
2012-9-22 13:11
0
雪    币: 85
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
感谢lz感谢lz
2012-9-22 14:47
0
雪    币: 167
活跃值: (1574)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
21
血泪史啊,以后得进虚拟机去调戏。
2012-9-22 16:08
0
雪    币: 297
活跃值: (120)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
22
有幸在第一次中招之前,看到楼主的大作。
2012-9-22 16:38
0
雪    币: 498
活跃值: (1552)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wxq
23
mail没看到,看到网址了
软件挺简单,心却这么狠。
2012-9-22 17:01
0
雪    币: 73
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
楼主油菜花~~
2012-9-22 19:22
0
雪    币: 185
活跃值: (477)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
想起之前的几个加密数据来敲诈的病毒
2012-9-22 19:59
0
游客
登录 | 注册 方可回帖
返回
//