意德漫 新番汇编分析要点总结:
本帖最后由 冥界3大法王 于 2019-11-19 23:23 编辑1.先观察文件目录新引进的文件
2.开始精简文件除掉不相关的可疑文件
3.除掉少文件的提示
4.从关于中Full出发找到全局性标记
5.修改后就为注册版
6.但我们无注册码,导入大魔的那个注册表键值这样才能显示注册名来,不然不好看。
7.假装重注册,重启导致程序再让你再注册(当然你不注册一时半会不会触发)注册码费掉,不注册则退出!
8.再跟一遍这个的全局性标志流程
9.我们又来到注册码的流程中,这次我们跟到了Mdate传统过期标志(此次不会直接安装时产生了,变得更隐蔽,但还是存在于注册表键值中)
全修改为JMP(大约5-6处)过程中会看到timer(计时器,退出暗桩触发点)之后才是serial等之后还有一个可疑点,具体作用不详,就是第一感觉看着别扭。作jump处理
0048114D . /0F85 DE020000 JNZ IDMan2.00481431
00481153 . |8B15 44976F00 MOV EDX,DWORD PTR DS:
00481159 . |8D45 E0 LEA EAX,DWORD PTR SS:
0048115C . |8D4D E8 LEA ECX,DWORD PTR SS:
0048115F . |50 PUSH EAX ; /pBufSize
00481160 . |51 PUSH ECX ; |Buffer
00481161 . |53 PUSH EBX ; |pValueType => NULL
00481162 . |53 PUSH EBX ; |Reserved => NULL
00481163 . |68 D8D76C00 PUSH IDMan2.006CD7D8 ; |ValueName = "ptrk_scdt"
00481168 . |52 PUSH EDX ; |hKey => 0xB8
00481169 . |895D FC MOV DWORD PTR SS:,EBX ; |
0048116C . |C745 E0 04000>MOV DWORD PTR SS:,0x4 ; |
00481173 . |FF15 04406500 CALL DWORD PTR DS:[<&ADVAPI32.RegQueryVa>; \RegQueryValueExA
10.再次观察About,没情况发生注册处变灰,注册码不显示了。但是会下载update623.txt一个这文件,说明update也该除掉
11.K掉升级检测
12.虚拟机里放着等过期,再动手修改timer(计时器,退出暗桩触发点)
程序暗桩很多你要一步步调试和修改得累死,所以从结构上分析弱点从外部破坏注册表键值这样反倒轻松和省事些,更多待进一步观察
仅供学习,高手见笑。
其实老版相当实在,还是老的香啊。
实践是掌握真理的亲爹。 学习学习,感谢大佬 YiFaniu 发表于 2019-11-17 20:01
学习学习,感谢大佬
不是大佬,高级菜鸟一名。{:301_998:} 额,好简洁 没有图。。。没有链接。。。。这是啥。。。 本帖最后由 冥界3大法王 于 2019-11-17 20:23 编辑
涛之雨 发表于 2019-11-17 20:11
没有图。。。没有链接。。。。这是啥。。。
你意德漫 姨汇编流程的笔记。 学习了,谢谢大佬分享 分析的很好,学习! 学习了 谢谢楼主 前来向楼主学习
页:
[1]
2