-
-
求教Armadillo壳的反监视能力
-
发表于:
2007-6-23 20:07
4336
-
Armadillo壳的反监视能力真够厉害
有一个软件用PEiD v0.94查壳显示Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks。
这个软件有45天全功能的试用期,试用期过后就会有功能限止。
经过几次调试后得知是使用壳内部注册并在程序中使用了SDK,所以注册信息都是壳产生的,
之所以说Armadillo壳的反监视能力厉害,是因为我使用RegMon监视软件或使用OD调试软件
能只查到它在注册表的2个地方生成注册信息,分别在HKLM的SOFTWARE和HKCR的CLSID中,
我删除这2个注册信息后,如果我的RegMon、FileMon或OD正在运行,不管是否监视这个软件都
会产生这样一个现象,就是又重新变成45天全功能试用版,但只要没有这些监视软件或OD正在
运行,那它又会回到原来的状态(比如已过期的状态)。搞了很久始终找不到Armadillo壳还在什么地方保存注册信息。
这个软件我带壳调试过,过期数据和正式版数据都是由壳传给主程序,我只要设断主程序入口,
把过期数据或正式版的数据就会进入相应的版本(如全功能试用版或正式版),所以注册信息肯定
只与壳有关。
请求大虾指点一下。
[课程]FART 脱壳王!加量不加价!FART作者讲授!