咸菜馆超级网络电视脱壳有自校验！

hangyubin · 发表于 2007-9-1 16:39:06

求助各位大侠：
咸菜馆超级网络电视脱壳以后显示是VB的程序！
有自校验！运行了脱壳后的文件！
程序就自我消毁了!
请教各位大侠遇害到这类的自校验应该怎么做！！！！！！！

[ 本帖最后由 hangyubin 于 2007-10-24 10:05 编辑 ]

VC8 · 发表于 2007-9-2 14:45:08

咸菜我是不敢玩的/:L ，待菜儿来看看吧

backboy · 发表于 2007-9-12 02:12:21

3.72版的在这校验文件大小
00439D04 E8 C1AAFCFF    CALL XCGTV.004047CA                   ; JMP 到 MSVBVM60.rtcFileLen
00439D09 3D 460D0300    CMP EAX,30D46                            比较文件大小
00439D0E 7C 09          JL SHORT XCGTV.00439D19                不能跳
00439D10 817D D0 BD2B090>CMP DWORD PTR SS:[EBP-30],92BBD
00439D17 7E 21          JLE SHORT XCGTV.00439D3A                要跳
00439D19 8B75 08       MOV ESI,DWORD PTR SS:[EBP+8]
00439D1C 56             PUSH ESI
00439D1D 8B06          MOV EAX,DWORD PTR DS:[ESI]
00439D1F FF90 FC060000 CALL DWORD PTR DS:[EAX+6FC]
注意文件名也不能改的哟!

这是它的恶意代码,文件大小不对就有了呵
del C:\WINDOWS\system32\wmp.dll
del C:\WINDOWS\Media\*.wav
del C:\WINDOWS\system32\sndvol32.exe
del C:\WINDOWS\system32\notepad.exe
del 1.bat
文件名是"咸菜馆超级网络电视1.bat"

它的注册文件是安装目录下的"注册信息勿删.txt",里面放的是注册码!

[ 本帖最后由 backboy 于 2007-9-12 10:56 编辑 ]

fei007008 · 发表于 2007-9-15 08:45:54

原帖由 hangyubin 于 2007-9-1 16:39 发表
求助各位大侠：
咸菜馆超级网络电视脱壳以后显示是VB的程序！
有自校验！运行了脱壳后的文件！
程序就自我消毁了!
请教各位大侠遇害到这类的自校验应该怎么做！！！！！！！

兄弟脱壳后的入口点是：0000479E
我脱壳后的入口点是：00004AC4（见截图）

hangyubin · 发表于 2007-9-15 11:11:06

原帖由 backboy 于 2007-9-12 02:12 发表
3.72版的在这校验文件大小
00439D04 E8 C1AAFCFF CALL XCGTV.004047CA ; JMP 到 MSVBVM60.rtcFileLen
00439D09 3D 460D0300 CMP EAX,30D46 比较文 ...

请问大侠你是怎样找到这里的哟!能发一个教程吗!谢谢!

hangyubin · 发表于 2007-9-15 11:15:13

这是我运行脱壳后的程序!在文件夹生成的批处理文件!内容如下:
START
del XCGTV.EXE
if exist XCGTV.EXE GOTO START
del C:\WINDOWS\system32\wmp.dll
del 1.bat
:

lxk836 · 发表于 2007-9-15 11:23:50

BP rtcFileLen ，回车，然后F9运行，断下后，ALT+F9返回下面应该可以找到比较了

不过这个软件在我机子上溢出不能用

jy2207661 · 发表于 2007-9-15 21:06:16

我也不会，只能让高手来解决你的问题了。

hangyubin · 发表于 2007-9-15 21:51:55

原帖由 lxk836 于 2007-9-15 11:23 发表
BP rtcFileLen ，回车，然后F9运行，断下后，ALT+F9返回下面应该可以找到比较了

不过这个软件在我机子上溢出不能用

谢谢兄弟的指点!现在我可以运行了!
再OD载入!好像有检测OD的代码啊!OD载入运行!不到5秒钟啊!!OD就自动卸载了！看来还要请大兄弟帮帮忙啊！！
应该还有自校验！
运行程序！发现节目表是灰色的！而且运行也是一样不到５秒钟就自动退出了！是不是还有自校验啊！

[ 本帖最后由 hangyubin 于 2007-9-15 22:12 编辑 ]

cg001 · 发表于 2007-10-5 15:14:49

这个难啊，搞不定

		自动登录	找回密码
密码			加入我们

[已解决] 咸菜馆超级网络电视脱壳有自校验！

本帖子中包含更多资源

相关帖子

本帖子中包含更多资源

本帖子中包含更多资源