好久没冒泡了上来冒个泡,装了个软件没想到现在用个软件真难啊,来坛子发下牢骚~~
今天主要是给大家带来一款神级的软件【魔兽超强改键助手21】,相信不少朋友都知道也用过吧。先来看下软件自带的说明文档,详细说明了软件的功能。(貌似作者对数字杀毒的印象不太好 呵呵 可以看出作者对现在的杀软误报也是很无奈啊)
魔兽软件说明.txt
1.显示我方血量,敌方血量
2.可禁用WIN键
3.智能锁定目标自动打怪(高级功能)
4.快速定义包裹快捷键,技能快捷键
5.快速定义二合一,三合一必杀键
软件绿色无毒!(但全球误报率排行第一的360“杀毒软件”可能会报毒)
如担心有病毒,请马上删除不要使用!
必看!!!.txt
1.软件绿色无毒!(但全球误报率排行第一的360“杀毒软件”会报毒)
2.如担心有病毒,请马上删除不要使用!
废话了这么多,开始安装吧,“档”一声弹出一错误提示:
---------------------------
错误
---------------------------
核心文件可能已被阻止拦截,软件无法继续运行,请重试!
---------------------------
确定
---------------------------
这是什么神马情况,“核心文件被阻止了”好先关掉杀毒试试还是一样的提示,好奇心重啊OD载入看看,PE查壳是VB的程序。搜索了下字符串发现总共就下面几条代码:
- 地址 反汇编 文本字符串
- 004012D0 push 魔兽超强.004076EC (Initial CPU selection)
- 00407D23 push 魔兽超强.00407D00 糠@团@
- 004081DC push 魔兽超强.00407CBC ./date/skin.dll
- 00408241 mov dword ptr [ebp-0x84], 魔兽超强.00407 cmd.exe /c copy/y/b .\date\skin.she+.\date\skin.dll .\date\超强改键助手.exe
- 004082CE mov dword ptr [ebp-0x84], 魔兽超强.00407 ./date/超强改键助手.exe
- 0040835E mov dword ptr [ebp-0x84], 魔兽超强.00407 ./date/超强改键助手.exe
- 004083D2 mov dword ptr [ebp-0x84], 魔兽超强.00407 软件无法加载,可能核心文件已被杀毒软件拦载,请重试!
复制代码很明显最后一条就是我们要找的关键,跟入代码后发现有个关键跳转,爆破之。
- 0040833D . /74 18 je short 魔兽超强.00408357
复制代码爆破后虽然没弹出提示框,程序也灭运行。看OD好像进入死循环,电脑风扇也不让了 嗖嗖的加速了,吓得我赶快结束了OD进程。
现在是真没思路了,这又是啥情况?突然任务栏发现那个错误提示窗口竟然还在,原来刚调试的程序只是个外壳 晕啊 软件作者这是做啥一个小软件何必搞的这么复杂呢。。进入程序目录打开data文件夹下看看竟然多了一个同样名字的程序“超强改键助手.exe”,原来真正的程序在这啊。(经过测试是后期生成的,初始目录并没有这个文件)
好继续OD载入搜索字符串,呵呵 这次字符串多了很多,为了下一步分析咱们把所有字符串代码全部抓取出来。
- 004016AC push 超强改键.00401840 (Initial CPU selection)
- 0040596E push 超强改键.004031B0 "
- 00405989 push 超强改键.004031C8 \
- 004059B6 push 超强改键.004031D0 .exe
- 004059CD push 超强改键.004031B0 "
- 00405A2B mov dword ptr [ebp-0x98], 超强改键.00403 cmd /cfor /l %a in (0,0,0) do if exist
- 00405A3F mov dword ptr [ebp-0xA8], 超强改键.00403 (del/a/f
- 00405A53 mov dword ptr [ebp-0xB8], 超强改键.00403 ) else exit
- 00405BE5 mov dword ptr [ebp-0x5C], 超强改键.00403 保存成功!
- 00405F1A mov dword ptr [ebp-0x560], 超强改键.0040 http://w
- 00405F47 mov dword ptr [ebp-0x560], 超强改键.0040 ww.ohw
- 00405F74 mov dword ptr [ebp-0x560], 超强改键.0040 ww.soho
- 00405FA1 mov dword ptr [ebp-0x560], 超强改键.0040 ousb.c
- 00405FCB mov dword ptr [ebp-0x560], 超强改键.0040 co
- 00405FF8 mov dword ptr [ebp-0x560], 超强改键.0040 met
- 00406025 mov dword ptr [ebp-0x560], 超强改键.0040 om/C
- 00406052 mov dword ptr [ebp-0x560], 超强改键.0040 onwc
- 0040607F mov dword ptr [ebp-0x560], 超强改键.0040 PA/1.t
- 004060AC mov dword ptr [ebp-0x560], 超强改键.0040 xt
- 00406241 mov dword ptr [ebp-0x560], 超强改键.0040 魔兽世界:
- 004063CD mov dword ptr [ebp-0x560], 超强改键.0040 主体更新:
- 00406556 mov dword ptr [ebp-0x560], 超强改键.0040 安装更新A:
- 004066E2 mov dword ptr [ebp-0x560], 超强改键.0040 安装更新B:
- 0040686E mov dword ptr [ebp-0x560], 超强改键.0040 安装更新C:
- 004069FA mov dword ptr [ebp-0x560], 超强改键.0040 安装更新D:
- 00406B86 mov dword ptr [ebp-0x560], 超强改键.0040 安装更新E:
- 00406D12 mov dword ptr [ebp-0x560], 超强改键.0040 安装更新F:
- 00406E9E mov dword ptr [ebp-0x560], 超强改键.0040 安装更新G:
- 0040702A mov dword ptr [ebp-0x560], 超强改键.0040 安装更新H:
- 004071B6 mov dword ptr [ebp-0x560], 超强改键.0040 安装包名A:
- 00407342 mov dword ptr [ebp-0x560], 超强改键.0040 安装包名B:
- 004074CE mov dword ptr [ebp-0x560], 超强改键.0040 安装包名C:
- 0040765A mov dword ptr [ebp-0x560], 超强改键.0040 安装包名D:
- 004077E3 mov dword ptr [ebp-0x560], 超强改键.0040 安装包名E:
- 00407966 mov dword ptr [ebp-0x560], 超强改键.0040 安装包名F:
- 00407AF2 mov dword ptr [ebp-0x560], 超强改键.0040 安装包名G:
- 00407C7E mov dword ptr [ebp-0x560], 超强改键.0040 安装包名H:
- 00407E0A mov dword ptr [ebp-0x560], 超强改键.0040 ww
- 00407E37 mov dword ptr [ebp-0x560], 超强改键.0040 w.so
- 00407E64 mov dword ptr [ebp-0x560], 超强改键.0040 ose
- 00407E91 mov dword ptr [ebp-0x560], 超强改键.0040 hoou
- 00407EBE mov dword ptr [ebp-0x560], 超强改键.0040 kmnw
- 00407EEB mov dword ptr [ebp-0x560], 超强改键.0040 sb.co
- 00407F18 mov dword ptr [ebp-0x560], 超强改键.0040 skd.com
- 00407F45 mov dword ptr [ebp-0x560], 超强改键.0040 m/C
- 00407F72 mov dword ptr [ebp-0x560], 超强改键.0040 PTU
- 00407F9F mov dword ptr [ebp-0x560], 超强改键.0040 PA/
- 00408077 mov dword ptr [ebp-0x560], 超强改键.0040 c:\
- 00408EB6 push 超强改键.00403CC0 DownloadFile
- 00408F4A mov dword ptr [ebp-0x570], 超强改键.0040 配置失败!
- 00408F70 mov dword ptr [ebp-0x560], 超强改键.0040 远程配置失败,可能已被防火墙或其它软件阻止!
- 004091FD push 超强改键.00403CC0 DownloadFile
- 00409291 mov dword ptr [ebp-0x570], 超强改键.0040 配置失败!
- 004092B7 mov dword ptr [ebp-0x560], 超强改键.0040 配置失败,可能已被防火墙或其它软件阻止!
- 00409544 push 超强改键.00403CC0 DownloadFile
- 004095D8 mov dword ptr [ebp-0x570], 超强改键.0040 配置失败!
- 004095FE mov dword ptr [ebp-0x560], 超强改键.0040 配置失败,可能已被防火墙或其它软件阻止!
- 0040988B push 超强改键.00403CC0 DownloadFile
- 0040991F mov dword ptr [ebp-0x570], 超强改键.0040 配置失败!
- 00409945 mov dword ptr [ebp-0x560], 超强改键.0040 配置失败,可能已被防火墙或其它软件阻止!
- 00409BD2 push 超强改键.00403CC0 DownloadFile
- 00409C66 mov dword ptr [ebp-0x570], 超强改键.0040 配置失败!
- 00409C8C mov dword ptr [ebp-0x560], 超强改键.0040 配置失败,可能已被防火墙或其它软件阻止!
- 00409F19 push 超强改键.00403CC0 DownloadFile
- 00409FAD mov dword ptr [ebp-0x570], 超强改键.0040 配置失败!
- 00409FD3 mov dword ptr [ebp-0x560], 超强改键.0040 配置失败,可能已被防火墙或其它软件阻止!
- 0040A260 push 超强改键.00403CC0 DownloadFile
- 0040A2F4 mov dword ptr [ebp-0x570], 超强改键.0040 配置失败!
- 0040A31A mov dword ptr [ebp-0x560], 超强改键.0040 配置失败,可能已被防火墙或其它软件阻止!
- 0040A5A7 push 超强改键.00403CC0 DownloadFile
- 0040A63B mov dword ptr [ebp-0x570], 超强改键.0040 配置失败!
- 0040A661 mov dword ptr [ebp-0x560], 超强改键.0040 配置失败,可能已被防火墙或其它软件阻止!
- 0040AFF9 push 超强改键.00403F50 regsvr32 "
- 0040B014 push 超强改键.00403F6C \dm.dll" /s
- 0040B07A push 超强改键.00403F88 dm.dmsoft
- 0040B0EA mov dword ptr [ebp-0x88], 超强改键.00403 错误
- 0040B10D mov dword ptr [ebp-0x78], 超强改键.00403 核心文件可能已被阻止拦截,软件无法继续运行,请重试!
- 0040B21D mov dword ptr [ebp-0x34], 超强改键.00403 C:\WINDOWS\system32\MSINET.OCX
- 0040B2E7 push 超强改键.00403FE8 C:\WINDOWS\system32\MSINET.OCX
- 0040B2ED push 超强改键.0040402C \MSINET.OCX
复制代码大略看了下这些文件好像和软件功能有点不太符啊,跟软件功能没一点牵扯啊,难不成有是个外壳?这么多“安装更新A--安装包名H”是啥?这么多配置失败有是啥?带着N多疑问OD载入先运行下程序试探下啥情况,又是“档”的一声弹出“配置失败”错误提示框,好跟进配置失败处的代码段,发现都差不多是一样的代码,全部爆破掉。
- 00408F14 . /74 05 je short 超强改键.00408F1B //爆破点NOP掉
- 00408F16 . |E9 C6000000 jmp 超强改键.00408FE1
- 00408F1B > \C745 FC 5D000>mov dword ptr [ebp-0x4], 0x5D
- 00408F22 . C785 C0FAFFFF>mov dword ptr [ebp-0x540], 0x80020004
- 00408F2C . C785 B8FAFFFF>mov dword ptr [ebp-0x548], 0xA
- 00408F36 . C785 D0FAFFFF>mov dword ptr [ebp-0x530], 0x80020004
- 00408F40 . C785 C8FAFFFF>mov dword ptr [ebp-0x538], 0xA
- 00408F4A . C785 90FAFFFF>mov dword ptr [ebp-0x570], 超强改键.00403D2C ; 配置失败!
- 00408F54 . C785 88FAFFFF>mov dword ptr [ebp-0x578], 0x8
- 00408F5E . 8D95 88FAFFFF lea edx, dword ptr [ebp-0x578]
- 00408F64 . 8D8D D8FAFFFF lea ecx, dword ptr [ebp-0x528]
- 00408F6A . FF15 F4104000 call dword ptr [<&MSVBVM60.__vbaVarDup>] ; msvbvm60.__vbaVarDup
- 00408F70 . C785 A0FAFFFF>mov dword ptr [ebp-0x560], 超强改键.00403CF8 ; 远程配置失败,可能已被防火墙或其它软件阻止!
- 00408F7A . C785 98FAFFFF>mov dword ptr [ebp-0x568], 0x8
- 00408F84 . 8D95 98FAFFFF lea edx, dword ptr [ebp-0x568]
- 00408F8A . 8D8D E8FAFFFF lea ecx, dword ptr [ebp-0x518]
- 00408F90 . FF15 F4104000 call dword ptr [<&MSVBVM60.__vbaVarDup>] ; msvbvm60.__vbaVarDup
- 00408F96 . 8D8D B8FAFFFF lea ecx, dword ptr [ebp-0x548]
- 00408F9C . 51 push ecx
- 00408F9D . 8D95 C8FAFFFF lea edx, dword ptr [ebp-0x538]
- 00408FA3 . 52 push edx
- 00408FA4 . 8D85 D8FAFFFF lea eax, dword ptr [ebp-0x528]
- 00408FAA . 50 push eax
- 00408FAB . 6A 30 push 0x30
- 00408FAD . 8D8D E8FAFFFF lea ecx, dword ptr [ebp-0x518]
- 00408FB3 . 51 push ecx
- 00408FB4 . FF15 44104000 call dword ptr [<&MSVBVM60.#595>] ; msvbvm60.rtcMsgBox
复制代码记得还有一处需要修改,就是最下面的“核心文件可能已被阻止拦截,软件无法继续运行,请重试”错误提示。
要不还一个提示框等着你
- 0040B0C1 . /0F84 A0000000 je 超强改键.0040B167 //爆破为无条件跳转
- 0040B0C7 . |C745 FC 07000>mov dword ptr [ebp-0x4], 0x7
- 0040B0CE . |C745 98 04000>mov dword ptr [ebp-0x68], 0x80020004
- 0040B0D5 . |C745 90 0A000>mov dword ptr [ebp-0x70], 0xA
- 0040B0DC . |C745 A8 04000>mov dword ptr [ebp-0x58], 0x80020004
- 0040B0E3 . |C745 A0 0A000>mov dword ptr [ebp-0x60], 0xA
- 0040B0EA . |C785 78FFFFFF>mov dword ptr [ebp-0x88], 超强改键.00403FDC ; 错误
- 0040B0F4 . |C785 70FFFFFF>mov dword ptr [ebp-0x90], 0x8
- 0040B0FE . |8D95 70FFFFFF lea edx, dword ptr [ebp-0x90]
- 0040B104 . |8D4D B0 lea ecx, dword ptr [ebp-0x50]
- 0040B107 . |FF15 F4104000 call dword ptr [<&MSVBVM60.__vbaVarDup>] ; msvbvm60.__vbaVarDup
- 0040B10D . |C745 88 A03F4>mov dword ptr [ebp-0x78], 超强改键.00403FA0 ; 核心文件可能已被阻止拦截,软件无法继续运行,请重试!
复制代码呵呵 大功告成,可以运行了。。。
NND突然发现自己网络关了,刚才调试一点东西把网络禁用了 呵呵 原来是我的错啊,怪不得人家软件提示无法验证还把人家程序乱改了一番(软件作者不要怪我侵权啊~~),想想也不对啊这款小软也好像没必要联网啊,先不管了先测试测试程序本地可以使用不。。
正高兴关闭软件后程序把自己删除了,还有检验?继续看下抓取的字符串发现顶部有几行比较可疑动用了批处理,还发现了DEL的字样。
- 00405A2B mov dword ptr [ebp-0x98], 超强改键.00403 cmd /cfor /l %a in (0,0,0) do if exist
- 00405A3F mov dword ptr [ebp-0xA8], 超强改键.00403 (del/a/f
- 00405A53 mov dword ptr [ebp-0xB8], 超强改键.00403 ) else exit
复制代码好的继续OD中跟随到代码找到段首下段,退出时果断可以断下。好直接段首retn之。
目前为止好像真成功了, 终于可以启动退出也不删除了。由于没装游戏没法测试,知不知道修改了这么多代码会不会影响到软件功能代码?随便点下试试本地功能有没有问题,点击【立即启动】按钮后 晕死 还有啊!看图还要复制他这个地址给他宣传三次才能永久没费使用。
o(︶︿︶)o 唉 这软件也太没意思了吧、太没劲、也太不安全,算了我决定放弃了、彻底的放弃太垃圾了。到现在为止可以看出这个软件那是相当的不地道,为了验证我放虚拟机网络状态下测试了下,做了点记录给各位看官欣赏。。
先截个图我的系统可是很纯净的,纯净的杀毒都没装~~
运行原版的程序,CPU和内存的使用率是飚升的,看下图可以看出运行了大量程序。
通过进程的名字可以看出什么PPTV、金山毒霸、酷屏等等程序都运行了,要知道我的系统可是纯净的啊,在运行这个程序之前什么也没运行。现在应该知道代码中的字符串是啥意思了吧““安装更新A--安装包名H””。
不得不感慨一下,真是一软在手,装机无忧啊。也没必要继续测试了,就是可怜了我的抓包工具直接卡死。
总算写完了,本文的目的很简单,揭发骗子软件,提醒各位朋友们下载软件的时候要小心加小心。
最后再说一下:本人文采那是少儿级的~~ 不长写文章也不会写但毕竟是一字一字打上来的,让看完本帖的朋友们受罪了 呵呵 见谅 见谅!不过我还是希望朋友们顶起来,因为我不想让更多的人受这些垃圾软件的毒害。在此还想对软件作者说几句:人要靠谱,网络营销挣钱不是你的错,但不能建立在别人的痛苦之上虽然我不知道是不是原作者的所作所为还是后期一些人修改的,不过为了验证我最起码从三个网站下载的此软件都是一样,顺便鄙视一下现在的大型绿色纯净下载站。
本文原创于一蓑烟雨!
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。