首页
社区
课程
招聘
请教fly,这个软件,发现脱壳后居然会删注册表,加密比较有意思
发表于: 2004-5-15 16:20 9090

请教fly,这个软件,发现脱壳后居然会删注册表,加密比较有意思

2004-5-15 16:20
9090
PECompact加的壳,脱了之后,程序自己使用FindWindow检测如下的东西:
FilemonClass            
SnackerClass            
OLLYDBG
然后CreateFile:
\\.\TRW            
\\.\TRWDEBUG           
\\.\TRW2000            
\\.\SIWVID            
\\.\SIWDEBUG            
\\.\NTICE            
\\.\SICE            
\\.\ICEDUMP            
\\.\FILEVXD
然后FindWindow:
TDeDeMainForm            
OLLYDBG
接着CreateFileA\\.\FILEVXD然后就是自校验,要是这个时候你点击了受到限制的功能的按钮,但是你避开了前面的哪些东西,发现文件被更改之后,就会删除你的注册表里面的HKEY_CLASS_ROOT下面的所有东西,然后会黑屏,估计是把显示器的刷新率调到200Hz或者更高,让你没法调试,MD我就在这里受伤了,开始没有备份注册表,只好重新安装系统,7456。这个软件太恶心了。强烈要求Fly出手看看他具体的代码,就是他的那一部分的破坏的代码,以及自校验的方式,不要求破解。第一部分:350k 第二部分265k

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 6
支持
分享
最新回复 (18)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
恶意程序,少碰为佳
2004-5-15 16:23
0
雪    币: 279
活跃值: (375)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
3
恶意程序,放到VM中运行吧
2004-5-15 17:08
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
一般这样的程序做不好
也做不大
let it be
比较好
2004-5-15 17:37
0
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
5
直接公开软件名和作者,加入黑名单,永不录用。
2004-5-15 18:27
0
雪    币: 291
活跃值: (400)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
6
最初由 fly 发布
恶意程序,少碰为佳


问题是调试前怎么知道他是恶意程序呢?????
2004-5-15 19:09
0
雪    币: 214
活跃值: (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
郁闷啊,被他黑了。害得我从装系统。算了,以后再也不用这个东西了。
2004-5-15 21:05
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
8
什么东西呢?告诉大家吧!
2004-5-15 23:22
0
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
9
最初由 prince 发布
什么东西呢?告诉大家吧!


是啊,每发现一个恶意程序最好公开,谁也不用,让它明白搞这种飞机是自杀行为。
2004-5-16 00:04
0
雪    币: 209
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
晕,还有这种软件呀,作者也太黑了。。!

干脆建立一个黑名单:把相关的写进去,今后提醒大家注意!
2004-5-16 00:09
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
11
最初由 David 发布


是啊,每发现一个恶意程序最好公开,谁也不用,让它明白搞这种飞机是自杀行为。

支持!:(
2004-5-16 07:58
0
雪    币: 703
活跃值: (327)
能力值: (RANK:380 )
在线值:
发帖
回帖
粉丝
12
不要先动态跟踪,要看是什么壳,有壳就用工具或修改的od脱壳.当然虚拟机更好
然后静态反编译,一般这样的作者都会在做完坏事炫耀一下的.呵呵看看有没有类似的话,不过也有比较阴的人,看看输入输出表有没有可疑的操作.另外提一下删文件的软件是犯法的,你毁掉的系统完全可以叫他赔偿,因为调试软件是法律允许的.
2004-5-16 11:32
0
雪    币: 418
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
12楼的说法正确。。。。嘿嘿。。。

对了,装上还原精灵。。这样就不怕了。。。WINDOWS下不可能格盘。。。别的随便你做。。:D
2004-5-16 13:54
0
雪    币: 291
活跃值: (400)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
14
最初由 mao0797 发布
12楼的说法正确。。。。嘿嘿。。。

对了,装上还原精灵。。这样就不怕了。。。WINDOWS下不可能格盘。。。别的随便你做。。:D


我分析过一个病毒,发现他会从网上下载一个自解压程序,用winrar打开,里面就有还原精灵!!!!!
要是哪个作者不要命了,在自己的软件上附带还原精灵,然后你一调试就启动还原精灵,那就有好戏看了
2004-5-16 16:43
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
最初由 kvllz 发布
不要先动态跟踪,要看是什么壳,有壳就用工具或修改的od脱壳.当然虚拟机更好
然后静态反编译,一般这样的作者都会在做完坏事炫耀一下的.呵呵看看有没有类似的话,不过也有比较阴的人,看看输入输出表有没有可疑的操作.另外提一下删文件的软件是犯法的,你毁掉的系统完全可以叫他赔偿,因为调试软件是法律允许的.


真是搞笑!贼喊捉贼啊!看来有的人是已经没有羞耻可言了...

你有本事先把鲁锦告倒吧,我等着你的好消息!

还有3DMax5,win2000装了Crack一个星期后无法启动,你最好到美国去告AutoDesk Inc.
2004-6-2 16:25
0
雪    币: 14940
活跃值: (4728)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
16
最初由 blowjob 发布


真是搞笑!贼喊捉贼啊!看来有的人是已经没有羞耻可言了...

你有本事先把鲁锦告倒吧,我等着你的好消息!

还有3DMax5,win2000装了Crack一个星期后无法启动,你最好到美国去告AutoDesk Inc.

你这么说是“鸟”意思?现在搞3D的又不只能选择3DMAX,系统优化也不仅仅是优化大师,选择的余地很多,搞破解的人怎么了。你既然看不起搞破解的人何必跑破解论坛来?这里在说哪些软件有XXX,提醒一下而已。竟然说"看来有的人是已经没有羞耻可言了..."
2004-6-2 16:45
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
我没有看不起破解的意思,否则我也不会来这里了。我只是说要么谈论纯技术,没必要扯什么法律什么的,感觉很幼稚。

如果谈法律,你最好别来。最近国家大力宣扬知识产权,其目的我们也心知肚明,没必要捅破吧?

这里没有一点 we can crack all! 的豪气...个人观点,版主不要发火.
2004-6-2 16:56
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
我的机器就被 3DMax 搞垮过N回,不过3DMax依然是建模的首选。其他的什么水晶啊的什么便宜的还是不爽啊...
2004-6-2 16:59
0
雪    币: 291
活跃值: (400)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
19
等等,3DMax5破坏系统是怎么回事???
我用Google搜不到相关话题?????
2004-6-2 20:56
0
游客
登录 | 注册 方可回帖
返回
//