【文章作者】: 冰橙子
【详细过程】
今天拿到PcShare远程控制会员版本20070826,看看说明
一、加了插默认浏览器的功能
二、重新修改了文件下载,一目了然,肉机不上线也可以管理。
三、加了窗口管理的功能、
四、加了群发消息的功能
五、加了强制肉机访问网页的功能
六、增加代理(不完善测试阶段)
七、增加了记录系统登录密码功能
看着看着 就想破解,说干就干,不管是不是菜鸟,还是先查壳把,
用PEID查壳:
Themida/WinLicense V1.8.2.0 + -> Oreans Technologies * Sign.By.fly *
如果你的查不到,可以下载最新的特征库
由于是Themida壳,1.9版本的后反OD的插件,只能用工具隐藏,PEID分辨不是很好,所以干脆就用HideToolz.exe 把OD隐藏起来
在HideToolz.exe里添加上你的OD的目录,在隐藏选项里选上:
Hide process
Protect process
Hide windows
Protect form windows
Anti-anti debug
Auto Start
设置好后打开OD,
1、设置OllyDBG忽略所有异常选项。
2、用HideOD插件:
勾选Auto Run HideOD、HideNtdebugBit。
勾选ZwQueryInformationProcess-->method2。
OD载入后,到这里:
00556014 P> B8 00000000 mov eax,0
00556019 60 pushad
0055601A 0BC0 or eax,eax
0055601C 74 68 je short 00556086 ; PcShare.00556086
0055601E E8 00000000 call 00556023 ; PcShare.00556023
00556023 58 pop eax ; kernel32.7C816FD7
00556024 05 53000000 add eax,53
00556029 8038 E9 cmp byte ptr ds:[eax],0E9
0055602C 75 13 jnz short 00556041 ; PcShare.00556041
0055602E 61 popad
0055602F EB 45 jmp short 00556076 ; PcShare.00556076
00556031 DB2D 37605500 fld tbyte ptr ds:[556037]
00556037 FFFF ???
【详细过程】
今天拿到PcShare远程控制会员版本20070826,看看说明
一、加了插默认浏览器的功能
二、重新修改了文件下载,一目了然,肉机不上线也可以管理。
三、加了窗口管理的功能、
四、加了群发消息的功能
五、加了强制肉机访问网页的功能
六、增加代理(不完善测试阶段)
七、增加了记录系统登录密码功能
看着看着 就想破解,说干就干,不管是不是菜鸟,还是先查壳把,
用PEID查壳:
Themida/WinLicense V1.8.2.0 + -> Oreans Technologies * Sign.By.fly *
如果你的查不到,可以下载最新的特征库
由于是Themida壳,1.9版本的后反OD的插件,只能用工具隐藏,PEID分辨不是很好,所以干脆就用HideToolz.exe 把OD隐藏起来
在HideToolz.exe里添加上你的OD的目录,在隐藏选项里选上:
Hide process
Protect process
Hide windows
Protect form windows
Anti-anti debug
Auto Start
设置好后打开OD,
1、设置OllyDBG忽略所有异常选项。
2、用HideOD插件:
勾选Auto Run HideOD、HideNtdebugBit。
勾选ZwQueryInformationProcess-->method2。
OD载入后,到这里:
00556014 P> B8 00000000 mov eax,0
00556019 60 pushad
0055601A 0BC0 or eax,eax
0055601C 74 68 je short 00556086 ; PcShare.00556086
0055601E E8 00000000 call 00556023 ; PcShare.00556023
00556023 58 pop eax ; kernel32.7C816FD7
00556024 05 53000000 add eax,53
00556029 8038 E9 cmp byte ptr ds:[eax],0E9
0055602C 75 13 jnz short 00556041 ; PcShare.00556041
0055602E 61 popad
0055602F EB 45 jmp short 00556076 ; PcShare.00556076
00556031 DB2D 37605500 fld tbyte ptr ds:[556037]
00556037 FFFF ???