绿M老兄！你的WinHEX我又动了下手术-资源下载-看雪-安全社区|安全招聘|kanxue.com

绿M老兄！你的WinHEX我又动了下手术

发表于: 2016-10-11 11:09 3667

绿M老兄！你的WinHEX我又动了下手术

killbr

2016-10-11 11:09

3667

WinHex结扎窗口.rar
长时间打开就会反弹窗口，我回家又动了下手术，这次手术圆满成功，再也没出来。

winhex 18.9

0028FD3C 031B219A UNICODE "Available only with a superior license type."

0028FD50 005FB74C UNICODE "For evaluation purposes only. [unregistered]"

0044CEAB \. C3 RETN
0044CEAC . 77 69 6E 68 6>ASCII "winhex.user",0
0044CEB8 2E DB 2E ; CHAR '.'
0044CEB9 00 DB 00
0044CEBA 00 DB 00
0044CEBB 00 DB 00
0044CEBC . 77 69 6E 68 6>ASCII "winhex.nouser",0

0044CD38 /$ 53 push ebx
0044CD39 |. 56 push esi
0044CD3A |. 81C4 FCFDFFFF add esp,-0x204
0044CD40 |. 8BD8 mov ebx,eax
0044CD42 |. A1 10D95C00 mov eax,dword ptr ds:[0x5CD910]
0044CD47 |. 8038 00 cmp byte ptr ds:[eax],0x0
0044CD4A |. 75 68 jnz short WinHex.0044CDB4
0044CD4C |. 8D5424 04 lea edx,dword ptr ss:[esp+0x4]
0044CD50 |. B8 ACCE4400 mov eax,WinHex.0044CEAC ; ASCII "winhex.user"
0044CD55 |. 33C9 xor ecx,ecx
0044CD57 |. E8 54D8FBFF call WinHex.0040A5B0
0044CD5C |. 8D4424 04 lea eax,dword ptr ss:[esp+0x4]
0044CD60 |. 33D2 xor edx,edx ; sechost.OpenServiceA
0044CD62 |. E8 5D75FCFF call WinHex.004142C4
0044CD67 |. 84C0 test al,al
0044CD69 |. 75 3D jnz short WinHex.0044CDA8
0044CD6B |. BA B8CE4400 mov edx,WinHex.0044CEB8
0044CD70 |. 8D4424 04 lea eax,dword ptr ss:[esp+0x4]
0044CD74 |. E8 93B6FBFF call WinHex.0040840C
0044CD79 |. 8D4424 04 lea eax,dword ptr ss:[esp+0x4]
0044CD7D |. E8 5AAEFBFF call WinHex.00407BDC
0044CD82 |. BA FF000000 mov edx,0xFF
0044CD87 |. 2BD0 sub edx,eax
0044CD89 |. 4A dec edx ; sechost.OpenServiceA
0044CD8A |. 891424 mov dword ptr ss:[esp],edx ; sechost.OpenServiceA
0044CD8D |. 54 push esp
0044CD8E |. 8D4424 08 lea eax,dword ptr ss:[esp+0x8]
0044CD92 |. E8 75AEFBFF call WinHex.00407C0C
0044CD97 |. 50 push eax ; |Buffer = 0028F388
0044CD98 |. E8 B78DFBFF call <jmp.&advapi32.GetUserNameW> ; \GetUserNameW
0044CD9D |. 8D4424 04 lea eax,dword ptr ss:[esp+0x4]
0044CDA1 |. 33D2 xor edx,edx ; sechost.OpenServiceA
0044CDA3 |. E8 1C75FCFF call WinHex.004142C4
0044CDA8 |> 84C0 test al,al
0044CDAA |. 74 08 je short WinHex.0044CDB4
0044CDAC |. A1 10D95C00 mov eax,dword ptr ds:[0x5CD910]
0044CDB1 |. C600 03 mov byte ptr ds:[eax],0x3
0044CDB4 |> 8D5424 04 lea edx,dword ptr ss:[esp+0x4]
0044CDB8 |. B8 BCCE4400 mov eax,WinHex.0044CEBC ; ASCII "winhex.nouser"
0044CDBD |. 33C9 xor ecx,ecx
0044CDBF |. E8 ECD7FBFF call WinHex.0040A5B0
0044CDC4 |. A1 10D95C00 mov eax,dword ptr ds:[0x5CD910]
0044CDC9 |. 8038 00 cmp byte ptr ds:[eax],0x0
0044CDCC |. 75 3F jnz short WinHex.0044CE0D
0044CDCE |. 8D4424 04 lea eax,dword ptr ss:[esp+0x4]
0044CDD2 |. 33D2 xor edx,edx ; sechost.OpenServiceA

0044CECC /$ 53 push ebx ; 00-1
0044CECD |. 56 push esi
0044CECE |. 57 push edi ; sechost.OpenServiceA
0044CECF |. 81C4 F4FDFFFF add esp,-0x20C
0044CED5 |. 8BD8 mov ebx,eax
0044CED7 |. 8B35 DCD65C00 mov esi,dword ptr ds:[0x5CD6DC] ; WinHex.005F5CF0
0044CEDD |. 8B3D A4DD5C00 mov edi,dword ptr ds:[0x5CDDA4] ; WinHex.005C8A70
0044CEE3 |. 8B15 B0DF5C00 mov edx,dword ptr ds:[0x5CDFB0] ; WinHex.005FB74C
0044CEE9 |. 8B47 1C mov eax,dword ptr ds:[edi+0x1C] ; shell32.75FF0C75
0044CEEC |. 33C9 xor ecx,ecx
0044CEEE |. E8 BDD6FBFF call WinHex.0040A5B0
0044CEF3 |. 33D2 xor edx,edx ; sechost.OpenServiceA
0044CEF5 |. E8 CA73FCFF call WinHex.004142C4
0044CEFA |. 8B15 24D05C00 mov edx,dword ptr ds:[0x5CD024] ; WinHex.005FA316
0044CF00 |. 8802 mov byte ptr ds:[edx],al
0044CF02 |. A1 24D05C00 mov eax,dword ptr ds:[0x5CD024]
0044CF07 |. 8038 00 cmp byte ptr ds:[eax],0x0
0044CF0A |. 74 43 je short WinHex.0044CF4F
0044CF0C |. 8D4424 04 lea eax,dword ptr ss:[esp+0x4]
0044CF10 |. 50 push eax ; /pHandle = 0028F388
0044CF11 |. A1 ACD85C00 mov eax,dword ptr ds:[0x5CD8AC] ; |
0044CF16 |. 50 push eax ; |Subkey = ""
0044CF17 |. 68 01000080 push 0x80000001 ; |hKey = HKEY_CURRENT_USER
0044CF1C |. E8 8B8CFBFF call <jmp.&advapi32.RegOpenKeyA> ; \RegOpenKeyA
0044CF21 |. 85C0 test eax,eax
0044CF23 |. 75 2A jnz short WinHex.0044CF4F
0044CF25 |. C70424 354400>mov dword ptr ss:[esp],0x4435
0044CF2C |. 54 push esp ; /pBufSize = 0028F374
0044CF2D |. 56 push esi ; |Buffer = 006F0004
0044CF2E |. 6A 00 push 0x0 ; |pValueType = NULL
0044CF30 |. 6A 00 push 0x0 ; |Reserved = NULL
0044CF32 |. A1 FCDB5C00 mov eax,dword ptr ds:[0x5CDBFC] ; |
0044CF37 |. 50 push eax ; |ValueName = ""
0044CF38 |. 8B4424 18 mov eax,dword ptr ss:[esp+0x18] ; |dtrampo.743A162A
0044CF3C |. 50 push eax ; |hKey = 0x28F388
0044CF3D |. E8 828CFBFF call <jmp.&advapi32.RegQueryValueExA> ; \RegQueryValueExA
0044CF42 |. 85C0 test eax,eax
0044CF44 |. 74 10 je short WinHex.0044CF56
0044CF46 |. 8BC3 mov eax,ebx
0044CF48 |. E8 EBFDFFFF call WinHex.0044CD38
0044CF4D |. EB 07 jmp short WinHex.0044CF56
0044CF4F |> 8BC3 mov eax,ebx
0044CF51 |. E8 E2FDFFFF call WinHex.0044CD38
0044CF56 |> 8A86 9C020000 mov al,byte ptr ds:[esi+0x29C]
0044CF5C |. 8B15 58E55C00 mov edx,dword ptr ds:[0x5CE558] ; WinHex.005FA318
0044CF62 |. 8802 mov byte ptr ds:[edx],al
0044CF64 |. 8A86 73020000 mov al,byte ptr ds:[esi+0x273]
0044CF6A |. E8 55301300 call WinHex.0057FFC4
0044CF6F |. 80BE B8040000>cmp byte ptr ds:[esi+0x4B8],0x0

004145C4 /$ 55 push ebp ; sechost.OpenServiceA
004145C5 |. 8BEC mov ebp,esp
004145C7 |. 51 push ecx
004145C8 |. 53 push ebx
004145C9 |. 33DB xor ebx,ebx
004145CB |. 895D FC mov [local.1],ebx
004145CE |. 6A 00 push 0x0 ; /hTemplateFile = NULL
004145D0 |. 81C9 80000000 or ecx,0x80 ; |
004145D6 |. 51 push ecx ; |Attributes = READONLY|SYSTEM
004145D7 |. 6A 03 push 0x3 ; |Mode = OPEN_EXISTING
004145D9 |. 6A 00 push 0x0 ; |pSecurity = NULL
004145DB |. 8B4D 08 mov ecx,[arg.1] ; |
004145DE |. 51 push ecx ; |ShareMode = FILE_SHARE_READ|4
004145DF |. 52 push edx ; |Access = GENERIC_WRITE|GENERIC_EXECUTE|GENERIC_ALL|5657245
004145E0 |. 50 push eax ; |FileName = ""
004145E1 |. E8 5E16FFFF call <jmp.&kernel32.CreateFileW> ; \CreateFileW
004145E6 |. 5B pop ebx ; dtrampo.743A5767
004145E7 |. 59 pop ecx ; dtrampo.743A5767
004145E8 |. 5D pop ebp ; dtrampo.743A5767
004145E9 \. C2 0400 retn 0x4
004145EC /$ 6A 00 push 0x0 ; /hTemplateFile = NULL
004145EE |. 68 80000008 push 0x8000080 ; |Attributes = NORMAL|SEQUENTIAL_SCAN
004145F3 |. 6A 04 push 0x4 ; |Mode = OPEN_ALWAYS
004145F5 |. 6A 00 push 0x0 ; |pSecurity = NULL
004145F7 |. 52 push edx ; |ShareMode = FILE_SHARE_READ|75657244
004145F8 |. 68 000000C0 push 0xC0000000 ; |Access = GENERIC_READ|GENERIC_WRITE
004145FD |. 50 push eax ; |FileName = ""
004145FE |. E8 4116FFFF call <jmp.&kernel32.CreateFileW> ; \CreateFileW
00414603 \. C3 retn

0044989D |. E8 CAEEFCFF call WinHex.0041876C 从这里好像第一次发现授权字样！ 0001

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

WinHex结扎窗口.rar （854.60kb，125次下载）

收藏・3

免费・0

支持

最新回复 (8)
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 2 楼有没有原版下载？ 2016-10-11 12:19 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 3 楼 http://bbs.pediy.com/showthread.php?t=200096&page=3 就在这基础上改的几天过去了，用完之后，长时间开着没再反弹框框 =============== 刚从网上找到的最近版本 http://ss.52jbj.com/uploads/soft/amd/WinHexPortable.rar 2016-10-11 19:36 0
川美雪币： 144 活跃值： (178) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 279 粉丝 0 关注私信	川美 4 楼原版可有？ 2016-10-11 20:32 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 5 楼是呀，直接提供一下完整版的下载吧。 2016-10-11 20:34 0
真难取雪币： 112 活跃值： (1526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 256 粉丝 3 关注私信	真难取 6 楼这说明PJ不完全，阉割窗口也无法阻止内部反盗版机制运行，当触发的时候存在无法工作甚至数据丢失的风险。不如netprodiag 的准注册版可靠。所以，奉劝大家选择版本时要慎之又慎。 2016-10-17 12:30 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 7 楼肯定是有在线校验的因为有时会出来那个订阅网上有那个18.8 sr-4 x86的便携版里有一个 32位的和一个 64位的有过几次之后就不能保存弹框了删除几个历史文件之后，就又正常了试了几次没跟个所以然来看飘云阁第六课的作业记载貌似有很强的文件校验功能目前用M老兄的版本日常改改文件恢复些文件还是够用的了。 2016-10-17 17:52 0
真难取雪币： 112 活跃值： (1526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 256 粉丝 3 关注私信	真难取 8 楼看你的描述，我确信没有在线校验！你有证据证明它有联网活动吗？没有的话，就只是个弹窗而已。 WinHex 防盗厉害，PJ有难度，方法有限，目前只认同netprodiag的18.7 sr-2 最稳定。对于这种工具，不能稳定完成工作，就是O！ 2016-10-17 21:53 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 9 楼只是交流，并非贪财。确实一分钱，一分货。这软件的强大在于取证，在于数据恢复恢复一块硬盘至少千元，损失早就回来了 2016-10-18 08:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

killbr

254

发帖

1688

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 2 楼有没有原版下载？ 2016-10-11 12:19 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 3 楼 http://bbs.pediy.com/showthread.php?t=200096&page=3 就在这基础上改的几天过去了，用完之后，长时间开着没再反弹框框 =============== 刚从网上找到的最近版本 http://ss.52jbj.com/uploads/soft/amd/WinHexPortable.rar 2016-10-11 19:36 0
川美雪币： 144 活跃值： (178) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 279 粉丝 0 关注私信	川美 4 楼原版可有？ 2016-10-11 20:32 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 5 楼是呀，直接提供一下完整版的下载吧。 2016-10-11 20:34 0
真难取雪币： 112 活跃值： (1526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 256 粉丝 3 关注私信	真难取 6 楼这说明PJ不完全，阉割窗口也无法阻止内部反盗版机制运行，当触发的时候存在无法工作甚至数据丢失的风险。不如netprodiag 的准注册版可靠。所以，奉劝大家选择版本时要慎之又慎。 2016-10-17 12:30 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 7 楼肯定是有在线校验的因为有时会出来那个订阅网上有那个18.8 sr-4 x86的便携版里有一个 32位的和一个 64位的有过几次之后就不能保存弹框了删除几个历史文件之后，就又正常了试了几次没跟个所以然来看飘云阁第六课的作业记载貌似有很强的文件校验功能目前用M老兄的版本日常改改文件恢复些文件还是够用的了。 2016-10-17 17:52 0
真难取雪币： 112 活跃值： (1526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 256 粉丝 3 关注私信	真难取 8 楼看你的描述，我确信没有在线校验！你有证据证明它有联网活动吗？没有的话，就只是个弹窗而已。 WinHex 防盗厉害，PJ有难度，方法有限，目前只认同netprodiag的18.7 sr-2 最稳定。对于这种工具，不能稳定完成工作，就是O！ 2016-10-17 21:53 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 9 楼只是交流，并非贪财。确实一分钱，一分货。这软件的强大在于取证，在于数据恢复恢复一块硬盘至少千元，损失早就回来了 2016-10-18 08:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复