咸菜馆超级网络电视脱壳有自校验!
求助各位大侠:咸菜馆超级网络电视脱壳以后显示是VB的程序!
有自校验!运行了脱壳后的文件!
程序就自我消毁了!
请教各位大侠遇害到这类的自校验应该怎么做!!!!!!!
[ 本帖最后由 hangyubin 于 2007-10-24 10:05 编辑 ] 咸菜我是不敢玩的/:L ,待菜儿来看看吧 3.72版的在这校验文件大小
00439D04 E8 C1AAFCFF CALL XCGTV.004047CA ; JMP 到 MSVBVM60.rtcFileLen
00439D09 3D 460D0300 CMP EAX,30D46 比较文件大小
00439D0E 7C 09 JL SHORT XCGTV.00439D19 不能跳
00439D10 817D D0 BD2B090>CMP DWORD PTR SS:,92BBD
00439D17 7E 21 JLE SHORT XCGTV.00439D3A 要跳
00439D19 8B75 08 MOV ESI,DWORD PTR SS:
00439D1C 56 PUSH ESI
00439D1D 8B06 MOV EAX,DWORD PTR DS:
00439D1F FF90 FC060000 CALL DWORD PTR DS:
注意文件名也不能改的哟!
这是它的恶意代码,文件大小不对就有了呵
del C:\WINDOWS\system32\wmp.dll
del C:\WINDOWS\Media\*.wav
del C:\WINDOWS\system32\sndvol32.exe
del C:\WINDOWS\system32\notepad.exe
del 1.bat
文件名是"咸菜馆超级网络电视1.bat"
它的注册文件是安装目录下的"注册信息勿删.txt",里面放的是注册码!
[ 本帖最后由 backboy 于 2007-9-12 10:56 编辑 ] 原帖由 hangyubin 于 2007-9-1 16:39 发表 https://www.chinapyg.com/images/common/back.gif
求助各位大侠:
咸菜馆超级网络电视脱壳以后显示是VB的程序!
有自校验!运行了脱壳后的文件!
程序就自我消毁了!
请教各位大侠遇害到这类的自校验应该怎么做!!!!!!!
兄弟脱壳后的入口点是:0000479E
我脱壳后的入口点是:00004AC4(见截图) 原帖由 backboy 于 2007-9-12 02:12 发表 https://www.chinapyg.com/images/common/back.gif
3.72版的在这校验文件大小
00439D04 E8 C1AAFCFF CALL XCGTV.004047CA ; JMP 到 MSVBVM60.rtcFileLen
00439D09 3D 460D0300 CMP EAX,30D46 比较文 ...
请问大侠你是怎样找到这里的哟!能发一个教程吗!谢谢! 这是我运行脱壳后的程序!在文件夹生成的批处理文件!内容如下:
START
del XCGTV.EXE
if exist XCGTV.EXE GOTO START
del C:\WINDOWS\system32\wmp.dll
del 1.bat
: BP rtcFileLen,回车, 然后F9运行,断下后,ALT+F9返回下面应该可以找到比较了
不过这个软件在我机子上溢出 不能用 我也不会,只能让高手来解决你的问题了。 原帖由 lxk836 于 2007-9-15 11:23 发表 https://www.chinapyg.com/images/common/back.gif
BP rtcFileLen,回车, 然后F9运行,断下后,ALT+F9返回下面应该可以找到比较了
不过这个软件在我机子上溢出 不能用
谢谢兄弟的指点!现在我可以运行了!
再OD载入!好像有检测OD的代码啊!OD载入运行!不到5秒钟啊!!OD就自动卸载了!看来还要请大兄弟帮帮忙啊!!
应该还有自校验!
运行程序!发现节目表是灰色的!而且运行也是一样不到5秒钟就自动退出了!是不是还有自校验啊!
[ 本帖最后由 hangyubin 于 2007-9-15 22:12 编辑 ] 这个难啊,搞不定
页:
[1]
2