请教fly，这个软件，发现脱壳后居然会删注册表，加密比较有意思-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

请教fly，这个软件，发现脱壳后居然会删注册表，加密比较有意思

发表于: 2004-5-15 16:20 8965

请教fly，这个软件，发现脱壳后居然会删注册表，加密比较有意思

ziding

2004-5-15 16:20

8965

PECompact加的壳，脱了之后，程序自己使用FindWindow检测如下的东西：
FilemonClass
SnackerClass
OLLYDBG
然后CreateFile：
\\.\TRW
\\.\TRWDEBUG
\\.\TRW2000
\\.\SIWVID
\\.\SIWDEBUG
\\.\NTICE
\\.\SICE
\\.\ICEDUMP
\\.\FILEVXD
然后FindWindow：
TDeDeMainForm
OLLYDBG
接着CreateFileA\\.\FILEVXD然后就是自校验，要是这个时候你点击了受到限制的功能的按钮，但是你避开了前面的哪些东西，发现文件被更改之后，就会删除你的注册表里面的HKEY_CLASS_ROOT下面的所有东西，然后会黑屏，估计是把显示器的刷新率调到200Hz或者更高，让你没法调试，MD我就在这里受伤了，开始没有备份注册表，只好重新安装系统，7456。这个软件太恶心了。强烈要求Fly出手看看他具体的代码，就是他的那一部分的破坏的代码，以及自校验的方式，不要求破解。第一部分：350k 第二部分265k

[课程]Android-CTF解题方法汇总！

收藏・6

免费・6

支持

最新回复 (18)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼恶意程序，少碰为佳 2004-5-15 16:23 0
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 3 楼恶意程序，放到VM中运行吧 2004-5-15 17:08 0
xuanqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 258 粉丝 1 关注私信	xuanqing 4 楼一般这样的程序做不好也做不大 let it be 比较好 2004-5-15 17:37 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 5 楼直接公开软件名和作者，加入黑名单，永不录用。 2004-5-15 18:27 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 6 楼最初由 fly 发布恶意程序，少碰为佳问题是调试前怎么知道他是恶意程序呢？？？？？ 2004-5-15 19:09 0
ziding 雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 1 关注私信	ziding 7 楼郁闷啊，被他黑了。害得我从装系统。算了，以后再也不用这个东西了。 2004-5-15 21:05 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 8 楼什么东西呢？告诉大家吧！ 2004-5-15 23:22 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 9 楼最初由 prince 发布什么东西呢？告诉大家吧！是啊，每发现一个恶意程序最好公开，谁也不用，让它明白搞这种飞机是自杀行为。 2004-5-16 00:04 0
橡皮泥雪币： 209 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 87 粉丝 1 关注私信	橡皮泥 10 楼晕，还有这种软件呀，作者也太黑了。。！干脆建立一个黑名单：把相关的写进去，今后提醒大家注意！ 2004-5-16 00:09 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 11 楼最初由 David 发布是啊，每发现一个恶意程序最好公开，谁也不用，让它明白搞这种飞机是自杀行为。支持!:( 2004-5-16 07:58 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 12 楼不要先动态跟踪,要看是什么壳,有壳就用工具或修改的od脱壳.当然虚拟机更好然后静态反编译,一般这样的作者都会在做完坏事炫耀一下的.呵呵看看有没有类似的话,不过也有比较阴的人,看看输入输出表有没有可疑的操作.另外提一下删文件的软件是犯法的,你毁掉的系统完全可以叫他赔偿,因为调试软件是法律允许的. 2004-5-16 11:32 0
mao0797 雪币： 418 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 81 粉丝 1 关注私信	mao0797 13 楼 12楼的说法正确。。。。嘿嘿。。。对了，装上还原精灵。。这样就不怕了。。。WINDOWS下不可能格盘。。。别的随便你做。。:D 2004-5-16 13:54 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 14 楼最初由 mao0797 发布 12楼的说法正确。。。。嘿嘿。。。对了，装上还原精灵。。这样就不怕了。。。WINDOWS下不可能格盘。。。别的随便你做。。:D 我分析过一个病毒，发现他会从网上下载一个自解压程序，用winrar打开，里面就有还原精灵！！！！！要是哪个作者不要命了，在自己的软件上附带还原精灵，然后你一调试就启动还原精灵，那就有好戏看了 2004-5-16 16:43 0
blowjob 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	blowjob 15 楼最初由 kvllz 发布不要先动态跟踪,要看是什么壳,有壳就用工具或修改的od脱壳.当然虚拟机更好然后静态反编译,一般这样的作者都会在做完坏事炫耀一下的.呵呵看看有没有类似的话,不过也有比较阴的人,看看输入输出表有没有可疑的操作.另外提一下删文件的软件是犯法的,你毁掉的系统完全可以叫他赔偿,因为调试软件是法律允许的. 真是搞笑！贼喊捉贼啊！看来有的人是已经没有羞耻可言了... 你有本事先把鲁锦告倒吧，我等着你的好消息！还有３ＤＭａｘ５，ｗｉｎ２０００装了Ｃｒａｃｋ一个星期后无法启动，你最好到美国去告ＡｕｔｏＤｅｓｋ　Ｉｎｃ． 2004-6-2 16:25 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 16 楼最初由 blowjob 发布真是搞笑！贼喊捉贼啊！看来有的人是已经没有羞耻可言了... 你有本事先把鲁锦告倒吧，我等着你的好消息！还有３ＤＭａｘ５，ｗｉｎ２０００装了Ｃｒａｃｋ一个星期后无法启动，你最好到美国去告ＡｕｔｏＤｅｓｋ　Ｉｎｃ．你这么说是“鸟”意思？现在搞3D的又不只能选择3DMAX，系统优化也不仅仅是优化大师，选择的余地很多，搞破解的人怎么了。你既然看不起搞破解的人何必跑破解论坛来？这里在说哪些软件有XXX，提醒一下而已。竟然说"看来有的人是已经没有羞耻可言了..." 2004-6-2 16:45 0
blowjob 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	blowjob 17 楼我没有看不起破解的意思，否则我也不会来这里了。我只是说要么谈论纯技术，没必要扯什么法律什么的，感觉很幼稚。如果谈法律，你最好别来。最近国家大力宣扬知识产权，其目的我们也心知肚明，没必要捅破吧？这里没有一点 we can crack all! 的豪气...个人观点，版主不要发火. 2004-6-2 16:56 0
blowjob 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	blowjob 18 楼我的机器就被 3DMax 搞垮过N回，不过3DMax依然是建模的首选。其他的什么水晶啊的什么便宜的还是不爽啊... 2004-6-2 16:59 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 19 楼等等，3DMax5破坏系统是怎么回事？？？我用Google搜不到相关话题？？？？？ 2004-6-2 20:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ziding

发帖

回帖

RANK

关注

私信

他的文章

请教fly，这个软件，发现脱壳后居然会删注册表，加密比较有意思 8966

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼恶意程序，少碰为佳 2004-5-15 16:23 0
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 3 楼恶意程序，放到VM中运行吧 2004-5-15 17:08 0
xuanqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 258 粉丝 1 关注私信	xuanqing 4 楼一般这样的程序做不好也做不大 let it be 比较好 2004-5-15 17:37 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 5 楼直接公开软件名和作者，加入黑名单，永不录用。 2004-5-15 18:27 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 6 楼最初由 fly 发布恶意程序，少碰为佳问题是调试前怎么知道他是恶意程序呢？？？？？ 2004-5-15 19:09 0
ziding 雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 1 关注私信	ziding 7 楼郁闷啊，被他黑了。害得我从装系统。算了，以后再也不用这个东西了。 2004-5-15 21:05 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 8 楼什么东西呢？告诉大家吧！ 2004-5-15 23:22 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 9 楼最初由 prince 发布什么东西呢？告诉大家吧！是啊，每发现一个恶意程序最好公开，谁也不用，让它明白搞这种飞机是自杀行为。 2004-5-16 00:04 0
橡皮泥雪币： 209 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 87 粉丝 1 关注私信	橡皮泥 10 楼晕，还有这种软件呀，作者也太黑了。。！干脆建立一个黑名单：把相关的写进去，今后提醒大家注意！ 2004-5-16 00:09 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 11 楼最初由 David 发布是啊，每发现一个恶意程序最好公开，谁也不用，让它明白搞这种飞机是自杀行为。支持!:( 2004-5-16 07:58 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 12 楼不要先动态跟踪,要看是什么壳,有壳就用工具或修改的od脱壳.当然虚拟机更好然后静态反编译,一般这样的作者都会在做完坏事炫耀一下的.呵呵看看有没有类似的话,不过也有比较阴的人,看看输入输出表有没有可疑的操作.另外提一下删文件的软件是犯法的,你毁掉的系统完全可以叫他赔偿,因为调试软件是法律允许的. 2004-5-16 11:32 0
mao0797 雪币： 418 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 81 粉丝 1 关注私信	mao0797 13 楼 12楼的说法正确。。。。嘿嘿。。。对了，装上还原精灵。。这样就不怕了。。。WINDOWS下不可能格盘。。。别的随便你做。。:D 2004-5-16 13:54 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 14 楼最初由 mao0797 发布 12楼的说法正确。。。。嘿嘿。。。对了，装上还原精灵。。这样就不怕了。。。WINDOWS下不可能格盘。。。别的随便你做。。:D 我分析过一个病毒，发现他会从网上下载一个自解压程序，用winrar打开，里面就有还原精灵！！！！！要是哪个作者不要命了，在自己的软件上附带还原精灵，然后你一调试就启动还原精灵，那就有好戏看了 2004-5-16 16:43 0
blowjob 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	blowjob 15 楼最初由 kvllz 发布不要先动态跟踪,要看是什么壳,有壳就用工具或修改的od脱壳.当然虚拟机更好然后静态反编译,一般这样的作者都会在做完坏事炫耀一下的.呵呵看看有没有类似的话,不过也有比较阴的人,看看输入输出表有没有可疑的操作.另外提一下删文件的软件是犯法的,你毁掉的系统完全可以叫他赔偿,因为调试软件是法律允许的. 真是搞笑！贼喊捉贼啊！看来有的人是已经没有羞耻可言了... 你有本事先把鲁锦告倒吧，我等着你的好消息！还有３ＤＭａｘ５，ｗｉｎ２０００装了Ｃｒａｃｋ一个星期后无法启动，你最好到美国去告ＡｕｔｏＤｅｓｋ　Ｉｎｃ． 2004-6-2 16:25 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 16 楼最初由 blowjob 发布真是搞笑！贼喊捉贼啊！看来有的人是已经没有羞耻可言了... 你有本事先把鲁锦告倒吧，我等着你的好消息！还有３ＤＭａｘ５，ｗｉｎ２０００装了Ｃｒａｃｋ一个星期后无法启动，你最好到美国去告ＡｕｔｏＤｅｓｋ　Ｉｎｃ．你这么说是“鸟”意思？现在搞3D的又不只能选择3DMAX，系统优化也不仅仅是优化大师，选择的余地很多，搞破解的人怎么了。你既然看不起搞破解的人何必跑破解论坛来？这里在说哪些软件有XXX，提醒一下而已。竟然说"看来有的人是已经没有羞耻可言了..." 2004-6-2 16:45 0
blowjob 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	blowjob 17 楼我没有看不起破解的意思，否则我也不会来这里了。我只是说要么谈论纯技术，没必要扯什么法律什么的，感觉很幼稚。如果谈法律，你最好别来。最近国家大力宣扬知识产权，其目的我们也心知肚明，没必要捅破吧？这里没有一点 we can crack all! 的豪气...个人观点，版主不要发火. 2004-6-2 16:56 0
blowjob 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	blowjob 18 楼我的机器就被 3DMax 搞垮过N回，不过3DMax依然是建模的首选。其他的什么水晶啊的什么便宜的还是不爽啊... 2004-6-2 16:59 0
草原猎豹雪币： 291 活跃值： (400) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 153 粉丝 1 关注私信	草原猎豹 4 19 楼等等，3DMax5破坏系统是怎么回事？？？我用Google搜不到相关话题？？？？？ 2004-6-2 20:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复