本文僅以學習交流爲目的,請勿用於非法用途
在6.0版本破掉機房助手不久,不少用戶反饋這機房助手更新了,不能再正常的突破藍屏和破解密碼。
現在來分析一下
6.8版本截圖
國際慣例 查殼
die可以看出 作者吸取教訓 做了點防護
由於.net程序的結構特性,不能使用普通殼(vmp之類的),作者給它加了個混淆,這令人很頭疼。
當然脫掉這殼也不是不可能,但就算脫掉了,函數名啥的也都沒了,分析起來也很困難,所以先不脫了。
既然不能脫殼,分析不了算法,自然密碼破解不了。。。。本人觀察依舊是dex只不過換了密鑰啥的。。。
(這是給作者看的)軟件邏輯有很大的問題,連上網後會自動更新,密碼算法更換後老的密碼不再能解鎖新版本軟件。。
。。手動滑稽。。
下面是正題
去除控制6.0使用匹配進程名稱的方法,消滅強制藍屏。
就是選中的四個進程。因爲去除控制殺進程能力極強,這幾個軟件來不及互鎖就被消滅了。藍屏成功over。
可能是作者發現了這點 新的6.8版本不再能夠被這方法突破(其實我也發現了,一直沒時間處理)
寒假因特殊原因延長,我總算有空玩玩我自己的的東西了,經過2h的觀察分析,成功解決6.8版本
6.8版本採用新的邏輯,不再使用固定的進程名,對我匹配進程造成了一定的困難。
(早期的病毒程序也使用這種方法來躲避殺毒軟件)暗示暗示嘿嘿
它是如何實現的呢?看圖
當主程序調用prozs.exe時 prozs.exe會放出一個隨機名字的可執行文件
經觀察這個可執行文件每天的名字都是不同的,根據系統時間算出新的名字,在不知道算法的情況下匹配進程名就有些困難了。
然而作者並未想到隨機制造exe而使用了一樣的二進制文件。
既然文件內容沒變,就可以用文件指紋(md5)來匹配進程,終於6.8版本被完美地xxxx了。
匹配文件指紋也是殺毒軟件的常用招數,用於幹掉不明文件(滑稽)。
附帶演示 gif
軟件麼可以前往官網 removectrl.mysxl.cn 下載
本貼終。。。。