[讨论]没见过这样保护的软件，大家分析下-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [讨论]没见过这样保护的软件，大家分析下 0.00雪花

发表于: 2008-2-10 22:06 7120

[旧帖] [讨论]没见过这样保护的软件，大家分析下 0.00雪花

xwysj

2008-2-10 22:06

7120

是个文件批量改名的软件，下面是我研究的，仅供参考
标题以前被同学用Winhex改了

卡巴杀无毒，但打开后悄悄在C盘建立了个文件夹，自己去看吧（和××功有关）

用PEiD打开，显示加什么壳的地方显示“无法打开文件” （和权限没关系）
拖入，自动弹出“PEiD 多重文件扫描器 v0.02”窗口，里面空空如野
若先运行程序，在PEiD点查看进程，选中进程，也显示“无法打开文件”
什么入口点:EP 段:文件偏移:首字节:连接器版本:子系统: 全部空

用exescope，打开或拖一样：弹出个MessageBox，标题“错误”，内容“不能打开文件系统找不到指定的文件。”

用ResHacker，打开或拖一样：就ResHacker标题变为“Resource Hacker - D:\更名.exe”，其它未变

用ResScope 1.94，打开或拖一样：没反映

用Restorator 2007，报错说“不能打开 D:\更名.exe：不能打开：D:\更名.exe！错误：打开失败”
不是Restorator程序出错，而是打开错，打开和拖弹的窗口不太一样。内容意思一样。

用PE Explorer，打开或拖一样：
提示“打开文件: D:\更名.exe
不能打开文件！
完成!”

用W32Dasm,提示：Could Not Get File Handle

用OllyDbg，打开或拖一样：提示“无法定位文件 'D:\更名.exe'”
，附加提示“无法打开或读取可执行文件 'D:\更名.exe'”，之后就附加上了÷÷

用记事本打开，中间偏下发现一份HTML的网页（全是那××功的东西）
程序好像也没加壳，程序中出现的字符串在用记事本打开最下面全能看到，也能改！
搞不懂它是怎么保护的，大家讨论下？？？

我是XP Pro SP2

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

1.rar （427.78kb，20次下载）

收藏・2

免费・0

支持

最新回复 (17)
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2 楼看看，呵呵！楼主俺也学习下！！！！ 2008-2-11 16:00 0
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 3 楼晕！这个是什么东西！希望别人进来看看！密切关注中 2008-2-11 16:29 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 4 楼呵呵……无意间发现一个Windows的系统漏洞……嘿嘿……要是让别人利用就坏了……呵呵…… Borland Delphi 4.0 - 5.0 PEiD汇报如图…… 上传的附件： 112121212.jpg （19.00kb，141次下载） 2008-2-11 16:40 0
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 5 楼这个文件应该是把文件头给修改了，但是不明白怎么恢复！ 2008-2-11 16:41 0
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 6 楼 [QUOTE=yangjt;415207]呵呵……无意间发现一个Windows的系统漏洞……嘿嘿……要是让别人利用就坏了……呵呵…… Borland Delphi 4.0 - 5.0 PEiD汇报如图…… [/QUOTE] 你怎么搞的说说啊！！！！ 2008-2-11 16:43 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 7 楼在我这里很正常，只不过里面有非法政治图片。劝楼主还是小心为妙啊 2008-2-11 16:46 0
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 8 楼怎么在我这里不正常啊！和楼主说的一样！但是,呵呵的确是有政治问题 2008-2-11 16:49 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 9 楼我这里真的一切正常，PEID　OD　ExeScope 都可以用。跟系统有关？　我的XP\sp2 2008-2-11 16:54 0
bkadmin 雪币： 109 能力值： (RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	bkadmin 10 楼 PEID不正常被改成了选择打开方式 Restorator 2007正常看了一下发现那些XXX是程序里的HMTL 应该是启动程序触发解压到C盘的 2008-2-11 18:47 0
bkadmin 雪币： 109 能力值： (RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	bkadmin 11 楼补充一句这个东西是Delphi写的 2008-2-11 18:52 0
xwysj 雪币： 390 活跃值： (571) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	xwysj 12 楼怎么有人正常，有人和我一样。难道我人品真这么差！！！！！！！ 2008-2-11 21:09 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 13 楼会在系统分区释放含有违法信息的一个文件夹，再次建议大家小心为妙，小心被人利用。 2008-2-12 12:11 0
brodbus 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 40 粉丝 0 关注私信	brodbus 14 楼系统问题哦，跟我以前碰到的一个问题情况一样 2008-2-12 12:19 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 15 楼主要问题我这里连点右键都不行 PEID什么都查不到 OD打不开。。。汗。。 2008-2-12 12:22 0
xwysj 雪币： 390 活跃值： (571) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	xwysj 16 楼那也不能这么多人系统都出问题把 2008-2-12 18:23 0
samisgod 雪币： 239 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 18 回帖 276 粉丝 0 关注私信	samisgod 4 17 楼说道改名........ 前段见了一个“文件批量改名之X” 检测到你的“不良操作”直接删你的boot.ini,ORZ 2008-2-12 19:11 0
myzhangjin 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 27 粉丝 0 关注私信	myzhangjin 18 楼因为你有杀毒软件. 2008-2-18 01:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xwysj

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2 楼看看，呵呵！楼主俺也学习下！！！！ 2008-2-11 16:00 0
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 3 楼晕！这个是什么东西！希望别人进来看看！密切关注中 2008-2-11 16:29 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 4 楼呵呵……无意间发现一个Windows的系统漏洞……嘿嘿……要是让别人利用就坏了……呵呵…… Borland Delphi 4.0 - 5.0 PEiD汇报如图…… 上传的附件： 112121212.jpg （19.00kb，141次下载） 2008-2-11 16:40 0
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 5 楼这个文件应该是把文件头给修改了，但是不明白怎么恢复！ 2008-2-11 16:41 0
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 6 楼 [QUOTE=yangjt;415207]呵呵……无意间发现一个Windows的系统漏洞……嘿嘿……要是让别人利用就坏了……呵呵…… Borland Delphi 4.0 - 5.0 PEiD汇报如图…… [/QUOTE] 你怎么搞的说说啊！！！！ 2008-2-11 16:43 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 7 楼在我这里很正常，只不过里面有非法政治图片。劝楼主还是小心为妙啊 2008-2-11 16:46 0
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 8 楼怎么在我这里不正常啊！和楼主说的一样！但是,呵呵的确是有政治问题 2008-2-11 16:49 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 9 楼我这里真的一切正常，PEID　OD　ExeScope 都可以用。跟系统有关？　我的XP\sp2 2008-2-11 16:54 0
bkadmin 雪币： 109 能力值： (RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	bkadmin 10 楼 PEID不正常被改成了选择打开方式 Restorator 2007正常看了一下发现那些XXX是程序里的HMTL 应该是启动程序触发解压到C盘的 2008-2-11 18:47 0
bkadmin 雪币： 109 能力值： (RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	bkadmin 11 楼补充一句这个东西是Delphi写的 2008-2-11 18:52 0
xwysj 雪币： 390 活跃值： (571) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	xwysj 12 楼怎么有人正常，有人和我一样。难道我人品真这么差！！！！！！！ 2008-2-11 21:09 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 13 楼会在系统分区释放含有违法信息的一个文件夹，再次建议大家小心为妙，小心被人利用。 2008-2-12 12:11 0
brodbus 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 40 粉丝 0 关注私信	brodbus 14 楼系统问题哦，跟我以前碰到的一个问题情况一样 2008-2-12 12:19 0
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 15 楼主要问题我这里连点右键都不行 PEID什么都查不到 OD打不开。。。汗。。 2008-2-12 12:22 0
xwysj 雪币： 390 活跃值： (571) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	xwysj 16 楼那也不能这么多人系统都出问题把 2008-2-12 18:23 0
samisgod 雪币： 239 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 18 回帖 276 粉丝 0 关注私信	samisgod 4 17 楼说道改名........ 前段见了一个“文件批量改名之X” 检测到你的“不良操作”直接删你的boot.ini,ORZ 2008-2-12 19:11 0
myzhangjin 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 27 粉丝 0 关注私信	myzhangjin 18 楼因为你有杀毒软件. 2008-2-18 01:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复