[讨论]没见过这样保护的软件，大家分析下-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [讨论]没见过这样保护的软件，大家分析下 0.00雪花

2008-2-10 22:06 7006

[旧帖] [讨论]没见过这样保护的软件，大家分析下 0.00雪花

xwysj

2008-2-10 22:06

7006

是个文件批量改名的软件，下面是我研究的，仅供参考
标题以前被同学用Winhex改了

卡巴杀无毒，但打开后悄悄在C盘建立了个文件夹，自己去看吧（和××功有关）

用PEiD打开，显示加什么壳的地方显示“无法打开文件” （和权限没关系）
拖入，自动弹出“PEiD 多重文件扫描器 v0.02”窗口，里面空空如野
若先运行程序，在PEiD点查看进程，选中进程，也显示“无法打开文件”
什么入口点:EP 段:文件偏移:首字节:连接器版本:子系统: 全部空

用exescope，打开或拖一样：弹出个MessageBox，标题“错误”，内容“不能打开文件系统找不到指定的文件。”

用ResHacker，打开或拖一样：就ResHacker标题变为“Resource Hacker - D:\更名.exe”，其它未变

用ResScope 1.94，打开或拖一样：没反映

用Restorator 2007，报错说“不能打开 D:\更名.exe：不能打开：D:\更名.exe！错误：打开失败”
不是Restorator程序出错，而是打开错，打开和拖弹的窗口不太一样。内容意思一样。

用PE Explorer，打开或拖一样：
提示“打开文件: D:\更名.exe
不能打开文件！
完成!”

用W32Dasm,提示：Could Not Get File Handle

用OllyDbg，打开或拖一样：提示“无法定位文件 'D:\更名.exe'”
，附加提示“无法打开或读取可执行文件 'D:\更名.exe'”，之后就附加上了÷÷

用记事本打开，中间偏下发现一份HTML的网页（全是那××功的东西）
程序好像也没加壳，程序中出现的字符串在用记事本打开最下面全能看到，也能改！
搞不懂它是怎么保护的，大家讨论下？？？

我是XP Pro SP2

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.rar （427.78kb，20次下载）

收藏・2

免费・0

打赏

最新回复 (17)
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:00 2 楼 0 看看，呵呵！楼主俺也学习下！！！！
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:29 3 楼 0 晕！这个是什么东西！希望别人进来看看！密切关注中
yangjt 雪币： 609 活跃值： (212) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 2008-2-11 16:40 4 楼 0 呵呵……无意间发现一个Windows的系统漏洞……嘿嘿……要是让别人利用就坏了……呵呵…… Borland Delphi 4.0 - 5.0 PEiD汇报如图…… 上传的附件： 112121212.jpg （19.00kb，141次下载）
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:41 5 楼 0 这个文件应该是把文件头给修改了，但是不明白怎么恢复！
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:43 6 楼 0 [QUOTE=yangjt;415207]呵呵……无意间发现一个Windows的系统漏洞……嘿嘿……要是让别人利用就坏了……呵呵…… Borland Delphi 4.0 - 5.0 PEiD汇报如图…… [/QUOTE] 你怎么搞的说说啊！！！！
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2008-2-11 16:46 7 楼 0 在我这里很正常，只不过里面有非法政治图片。劝楼主还是小心为妙啊
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:49 8 楼 0 怎么在我这里不正常啊！和楼主说的一样！但是,呵呵的确是有政治问题
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2008-2-11 16:54 9 楼 0 我这里真的一切正常，PEID　OD　ExeScope 都可以用。跟系统有关？　我的XP\sp2
bkadmin 雪币： 109 能力值： (RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	bkadmin 2008-2-11 18:47 10 楼 0 PEID不正常被改成了选择打开方式 Restorator 2007正常看了一下发现那些XXX是程序里的HMTL 应该是启动程序触发解压到C盘的
bkadmin 雪币： 109 能力值： (RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	bkadmin 2008-2-11 18:52 11 楼 0 补充一句这个东西是Delphi写的
xwysj 雪币： 400 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	xwysj 2008-2-11 21:09 12 楼 0 怎么有人正常，有人和我一样。难道我人品真这么差！！！！！！！
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2008-2-12 12:11 13 楼 0 会在系统分区释放含有违法信息的一个文件夹，再次建议大家小心为妙，小心被人利用。
brodbus 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 40 粉丝 0 关注私信	brodbus 2008-2-12 12:19 14 楼 0 系统问题哦，跟我以前碰到的一个问题情况一样
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 2008-2-12 12:22 15 楼 0 主要问题我这里连点右键都不行 PEID什么都查不到 OD打不开。。。汗。。
xwysj 雪币： 400 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	xwysj 2008-2-12 18:23 16 楼 0 那也不能这么多人系统都出问题把
samisgod 雪币： 239 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 18 回帖 276 粉丝 0 关注私信	samisgod 4 2008-2-12 19:11 17 楼 0 说道改名........ 前段见了一个“文件批量改名之X” 检测到你的“不良操作”直接删你的boot.ini,ORZ
myzhangjin 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 27 粉丝 0 关注私信	myzhangjin 2008-2-18 01:44 18 楼 0 因为你有杀毒软件.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

xwysj

发帖

回帖

RANK

关注

私信

他的文章

[求助]adjust的adj3的signature算法

[讨论]没见过这样保护的软件，大家分析下

[调查]有没有内蒙古的啊？？？？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:00 2 楼 0 看看，呵呵！楼主俺也学习下！！！！
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:29 3 楼 0 晕！这个是什么东西！希望别人进来看看！密切关注中
yangjt 雪币： 609 活跃值： (212) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 2008-2-11 16:40 4 楼 0 呵呵……无意间发现一个Windows的系统漏洞……嘿嘿……要是让别人利用就坏了……呵呵…… Borland Delphi 4.0 - 5.0 PEiD汇报如图…… 上传的附件： 112121212.jpg （19.00kb，141次下载）
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:41 5 楼 0 这个文件应该是把文件头给修改了，但是不明白怎么恢复！
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:43 6 楼 0 [QUOTE=yangjt;415207]呵呵……无意间发现一个Windows的系统漏洞……嘿嘿……要是让别人利用就坏了……呵呵…… Borland Delphi 4.0 - 5.0 PEiD汇报如图…… [/QUOTE] 你怎么搞的说说啊！！！！
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2008-2-11 16:46 7 楼 0 在我这里很正常，只不过里面有非法政治图片。劝楼主还是小心为妙啊
b笨小孩b 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	b笨小孩b 2008-2-11 16:49 8 楼 0 怎么在我这里不正常啊！和楼主说的一样！但是,呵呵的确是有政治问题
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2008-2-11 16:54 9 楼 0 我这里真的一切正常，PEID　OD　ExeScope 都可以用。跟系统有关？　我的XP\sp2
bkadmin 雪币： 109 能力值： (RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	bkadmin 2008-2-11 18:47 10 楼 0 PEID不正常被改成了选择打开方式 Restorator 2007正常看了一下发现那些XXX是程序里的HMTL 应该是启动程序触发解压到C盘的
bkadmin 雪币： 109 能力值： (RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	bkadmin 2008-2-11 18:52 11 楼 0 补充一句这个东西是Delphi写的
xwysj 雪币： 400 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	xwysj 2008-2-11 21:09 12 楼 0 怎么有人正常，有人和我一样。难道我人品真这么差！！！！！！！
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2008-2-12 12:11 13 楼 0 会在系统分区释放含有违法信息的一个文件夹，再次建议大家小心为妙，小心被人利用。
brodbus 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 40 粉丝 0 关注私信	brodbus 2008-2-12 12:19 14 楼 0 系统问题哦，跟我以前碰到的一个问题情况一样
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 2008-2-12 12:22 15 楼 0 主要问题我这里连点右键都不行 PEID什么都查不到 OD打不开。。。汗。。
xwysj 雪币： 400 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	xwysj 2008-2-12 18:23 16 楼 0 那也不能这么多人系统都出问题把
samisgod 雪币： 239 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 18 回帖 276 粉丝 0 关注私信	samisgod 4 2008-2-12 19:11 17 楼 0 说道改名........ 前段见了一个“文件批量改名之X” 检测到你的“不良操作”直接删你的boot.ini,ORZ
myzhangjin 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 27 粉丝 0 关注私信	myzhangjin 2008-2-18 01:44 18 楼 0 因为你有杀毒软件.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复