本文中算法只适用于学生机房管理助手7.2版本。
上信息课时,教师会用极域等电子教室控制学生,这就相当于个木马。要结束掉它进程并不难,taskkill、ntsd都能结束掉,但是痛苦地发现,某些机房装了一款学生机房管理助手!
就是它!暴力结束电子教室,它会蓝你一脸!亲身经历过的都想暴揍这个软件作者。
经研究,是如上两个进程在作怪。jfglzs.exe这个程序位于助手的安装目录下,好理解,但是下面那个进程,通常是3个字母加1个数字,每天名字都不一样。查看文件属性
原来是助手安装目录下prozs.exe的自我复制。 我调整系统时间来实验,可以得知其使用特定算法来生成名字而不是随机。
DIE扫描结果
原来是.NET写的,直接拖进.NET逆向软件dnSpy,发现其有壳保护!