创建博客 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

宝贝小屋

生活 工作 学习

 
 
 

日志

 
 

教你一步步搞定VFP&EXE加密全系列  

2010-12-30 20:40:45|  分类: 默认分类 |  标签: |举报 |字号 订阅



教你一步步搞定VFPEXE加密全系列 - 三脚猫 - 宝贝小屋 教你一步步搞定VFP&EXE加密全系列
(VFP&EXE 专业版篇)
FoxTools的推出,使得VFP&EXE的全系列成为虚设,VFP&EXE的作者又故技重施,以新的ID在VFP论坛攻击FoxTools作者。本人实在看不过眼,故写了手动反VFP&EXE的全系列文章,此为第一篇,将引导大家如何一步步手动搞定VFP&EXE专业版加密。
1、VFP&EXE专业版的简介及工作原理
老王的招牌作品了,从1999年年底就开始招摇过市了。从原来的1.0发展到现在的2.X(呵呵,其实我也不清楚现在是什麽版本了),注册费由原来的¥30到一年前的¥280。其工作原理为:将VFP的EXE全部当作资料来处理,採用Zlib 1.03压缩引擎进行资料压缩(相容于PKZIP,压缩时所加的密码为“SmtpPop”),运行时将加密后的资料自身还原,偷偷放到WINDOWS的一些隐含目录,如“垃圾桶”里面,主程序再来运行这个自身还原的程式,并对该程式进行锁定,以防止别人把这个档拷贝出来进行还原。
2、还原的原理及实现
基于VFP&EXE专业版这个工作原理,我们通常的做法是让加密后的软体运行,然后结束其主进程,剩下的工作就是将其自身还原的程式搞出来,稍微标准化处理一下,用反编译工具进行反之。Aming对付VFP&EXE专业版的工具正是基于这一点进行设计的。
3、VFP&EXE的无奈
由于Aming写了一系列自动还原VFP&EXE全系列的工具,所以老王也对Aming恨之入骨。VFP&EXE每个系列都对Aming的工具进行搜捕,通过FindWindowA、GetClassNameA取视窗标题、控制码如“ThunderRT6FormDC”、“FoxKill.EXE -D -I –P”、“Microsoft 系统资讯”、“Windows 任务管理器”、“Unvfp”、“档型加密终结者”、“vfpkill”、“Unvfp&Exe 1.5s”等。最可笑的是在Aming反NC的工具推出后,老王更是老羞成怒,狗急跳牆,竟然在程式运行时刻枚举所有视窗和进程,对比是否有“ThunderRT6FormDC”、“Msvbvm60.dll”等来杀死正在运行的所有的VB软体!
4、手动还原
使用工具:
(1)Unfoxall 2.1 加强版(为什麽叫加强版的?呵呵~~这不是原来老木头所命名的,而是修改者所起的名字,这个“加强版”可以直接反编译类Refox I+级以及各种进行代码偏移过的VFP程式)
(2)ProcDump。用来杀死 VFP&EXE加密后程式的主程序和得到自身还原的VFP程式的所在。
(2)FreeSpy。这个东西干什麽用的呢?用来修改视窗资讯的!通过反彙编加密的程式知道其通过查找标题来防止一些调试软体和脱壳软体,因此我们有必要对我们的ProcDump进行改造下。
(4)VB 5.0/6.0。啊,用来干什麽呀?不要惊慌,拿来完成一项将VFP程式複製出来的小工作,只有一句话。:)
(5)UltraEdit 32。用来查看和编辑拷贝出来的档,进行小处理。
OK,事不宜迟,Action!
目标:金友通用桑拿洗浴综合业务管理系统 7.528
A、第一步,运行ProcDump,运行FreeSpy,对ProcDump的视窗标题进行更改,索性更改为VFP&EXE,呵呵~~~~~。
B、运行目的程式,刷新一下ProcDump的进程列表,发现多了两个进程,其中jyht.exe就是我们要结束的程式,下面一个是我们要得到的自身还原的VFP程式。
OK,如下图将它KILL掉。
C、杀掉主程序后,我们的VB5/6出动了,只需要做一个工具,写一句程式:
FileCopy "c:\windows\history\鮂F  鮂F\ \ddeaiid鮂F.exe", "c:\windows\desktop\jyht.exe"
D、呀,複製成功了,用UNFOXALL来处理它!天哪,UNFOXALL不能识别!
E、这时候,UltraEdit32出马了!用UltraEdit32打开jyht.exe,移到文件尾巴,哦,原来档被加入垃圾资讯了。最后四个位元组D8 00 00 00 代表了垃圾的长度,其影响着UNFOXALL的正常工作!一方面,我们可以通过删除垃圾代码来处理,另一方面,我们可以通过改动垃圾代码的长度,让UNFOXALL自动搜索VFP的特徵,来得到正确识别。
我们把D8 00 00 00 改为 D8 00 00 10,如图
OK啦,UNFOXALL能正确识别了!
前面有个好大的垃圾文件啊,没问题,把它的勾勾不要就是了。看看能否正确反编译?嘻嘻,源代码出来啦~~~~~
5、结束语。至此,我们讲述了如何手动搞定VFP&EXE专业版。在下一回,我们接着将讲述一步步搞定VFP&EXE企业版和VFP&EXENC。NC是什麽东东啊?呵呵,老王取了记忆体的缩写(Nei Cun)~~很久没搞这麽多

  评论这张
 
阅读(1368)| 评论(3)
|      
推荐 转载

历史上的今天

最近读者

热度

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2014