全网首发!逆向分析学生机房管理助手7.4随机进程名算法

最新推荐文章于 2024-05-09 10:00:36 发布
最新推荐文章于 2024-05-09 10:00:36 发布
阅读量926 收藏 2
点赞数 3
文章标签: c++ windows 经验分享 c# .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42112038/article/details/127146526
版权

一到九月份,学生机房管理助手就直接开始窜稀式更新,连更两个版本,这使我弄不到7.3的样本,只能分析7.4了。大伙有7.3样本欢迎联系我。
7.2版本分析见最新支持7.2!用C++干掉讨厌的学生机房管理助手

分析过程

此文章大致是按照我研究的思路来写的,这样写得容易些,如果阅读比较困难,请见谅,谢谢。
开始分析:

概述

7.4版本截图

截图

先尝试运行样本,可以发现,还是jfglzs.exe和prozs.exe在运行,只是prozs.exe的随机名算法更换了。扫描prozs.exe:

Die扫描

脱壳

几乎没啥变化,那就丢进de4dot脱个壳吧(这里是GUI版本加上吾爱破解的de4dot)

第一次脱壳

呃,失败了。将混淆类型(-p参数)改成.NET Reactor 4.x试看看吧:

第二次脱壳

还是有报错,但是起码保存了一半,抱着侥幸心理瞅瞅dnSpy可以反编译么:

打开源代码1

可以看到结构与7.2相似(可看我分析文章),进入Form1_Load()方法:

源代码2
代码很长,且与我们之前看到的不同:多个switch()和跳转语句,很明显是做了控制流混淆,而de4dot修为不够,对这个写得和OLG一样的程序无从下手!
其实我们如果就根据这些代码一个个检查、跳转,也可以大致还原出它的逻辑(我最初就是这样做的),可是太麻烦又太容易出错。

去除控制流混淆

根据Die扫描结果,此程序使用了.NET Reactor 4.8-4.9的壳,而有一个工具,NETReactorSlayer(https://github.com/SychicBoy/NETReactorSlayer),专治这类不听话的壳!!!

我们把带有控制流混淆的哪个de4dot脱到一半的程序丢进去,仅勾选去除控制流混淆(第二列第一个选项),进行处理(如果把源程序拖进去并全部勾选,会出现所有方法为空的问题,而将de4dot处理过的给它处理就没事):

去除混淆

非常成功啊,那么我们再拖进dnSpy看看,控制流混淆已经没啦,节省了我们很多时间!

分析代码

我们知道prozs.exe的随机名随日期不同而变化,那么在Form1_Load()方法中找到涉及DateAndTime的语句即可:

源代码3

可以看见一系列求余操作,这告诉我们,这便是算法所在地!!
将其简化并翻译成C++代码即可。

可是这里面是不是有些问题?几个字符串加起来,没赋值给一个字符串变量,而是赋值给了num5,这是怎么回事?往下看:

源代码4

原来实际名称是string_1,它在284行定义:

this.string_1 = num5 + Class7.smethod_11(44);

是表示那4个字符拼起来的num5和一个奇怪方法的和,进入这个方法看看:

源代码5

哦!脑壳疼,原来是给定一数字经过一堆算法处理,返回一个字符串。后面一大堆我就不放出来ex大伙了,只要知道传进的整数和返回值有唯一对应关系即可。

接下来string_1的来历即可理解成:4个经过算法计算的字符的和(被赋给一整数)加上一个字符串常量。字符串常量的值是多少呢?我本来想打断点调试,可是应该是此脱壳后程序不完整的缘故,调试不了。那么我们就实际上机操作,揣测一下这些字符经过了怎样的处理。

插曲,反混淆时的错误

现在先注意这一点:如果你仔细观察上列“包含控制流混淆的代码”和“脱去控制流混淆的代码”,会在几个字符加起来的环节发现问题。我将代码贴过来对比(原程序代码控制流混淆已简化以方便观察):
未脱去混淆

//前面计算省略
if (num9 % 2 == 0)
{
   
	num5 = Conversions.ToString(Strings.Chr
最低0.47元/天 解锁文章
小流汗黄豆
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
极域工具包 1.0正式发布!一键杀极域!完美破解学生机房管理助手
不蚌埠!
07-06 1万+
正式版,再也不用担心极域电子教室和学生机房管理助手限制我的发挥了,嗨害嗨
【干货最多】逆向分析学生机房管理助手7.8随机进程算法、极域U盘、网络、键盘限制
不蚌埠!
11-26 3507
机房助手+极域三太子,恶心人的极致~~~
[分享].Net脱壳利器de4dot介绍
SurpassLi的专栏
03-31 130
De4Dot是一个很强的.Net程序脱壳,反混淆工具,支持对于以下工具混淆过的代码的清理:如 Xenocode、.NET Reactor、MaxtoCode、Eazfuscator.NET、Agile.NET、Phoenix Protector、Manco Obfuscator 、CodeWall、NetZ .NET Packer 、Rpx .NET Packer、Mpress .NET Pac...
.NET安全对抗 | 利用de4dot解密被混淆的.NET代码
ahhacker86的专栏
01-10 1368
NET下可以反混淆的工具还有很多,笔者打算日后再逐个介绍给大伙认识。文章涉及的工具和PDF已打包发布在星球,欢迎对.NET安全关注和关心的同学加入我们[dotNet安全矩阵],在这里能遇到有情有义的小伙伴,大家聚在一起做一件有意义的事。欢迎大伙持续关注,交流。为了帮助研发大佬们熟悉和掌握.NET应用安全相关的漏洞介绍和修复解决方案,我们创建了一个.NET应用安全建设的星球,专门科普.NET领域相关的安全漏洞和提供漏洞修复方法,星球部分主题如下图所示。感兴趣的研发大佬们可以加入我们一起学习交流。
探索保护软件的克星:.NETReactorSlayer
最新发布
gitblog_00076的博客
05-09 511
探索保护软件的克星:.NETReactorSlayer 项目地址:https://gitcode.com/SychicBoy/NETReactorSlayer .NETReactorSlayer,这是一个由SychicBoy开发并维护的开源神器,专门针对Eziriz .NET Reactor的反混淆和解包工具。其目标是提供一个有效的解决方案,帮助开发者和安全研究者解析那些经过.NET Reacto...
易语言取随机进程
08-22
随机进程系统结构:取随机字, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------__启动窗口_将被销毁 || ||------取随机
用另一种方式解决机房管理助手!(非结束进程版)
icehomegre的博客
08-13 2583
把蓝屏窗口透明化+鼠标穿透,然后挂起蓝屏程序
【软件分享】推荐几个破解机房的软件
Eliminateeeeee的博客
10-12 1907
分享几个破解机房的软件
AES算法逆向分析.docx
05-14
AES算法逆向分析,AES的全称是Advanced Encryption Standard,意思是高级加密标准。AES出现主要是为了替代DES加密算法,DES算法的密钥长度是56Bit,算法的理论安全强度是2的56次方。但在二十世纪中后期,计算机飞速...
易语言逆向分析助手3.0
08-04
《易语言逆向分析助手3.0:深入解析与应用》 易语言逆向分析助手3.0是一款专为易语言编程爱好者和安全研究人员设计的工具,它旨在帮助用户理解和剖析由易语言编写的程序,进一步提升逆向工程的效率。易语言是中国...
全网免费!Winhex软件-二进制文件浏览器分析工具
10-18
全网免费!Winhex软件-二进制文件浏览器分析工具》 Winhex是一款强大的二进制文件浏览器和分析工具,特别适用于处理类文件(class文件)、字节码文件和其他类型的二进制数据。该软件提供了全面的功能,帮助用户...
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
安卓逆向学习笔记之Frida+ida trace分析非标准算法
03-15
在安卓逆向工程中,开发者和安全研究人员常常需要分析应用程序的内部工作原理,尤其是在面对非标准算法时。本文将深入探讨如何结合Frida和IDA工具来追踪并理解这些复杂算法。Frida是一个动态代码插桩工具,而IDA则是...
学生机房管理助手去除控制续
weixin_57476554的博客
05-01 1446
学生机房管理助手去除控制
电子教室终结者 一键结束电子教室和机房管理助手
qq_28982517的博客
10-22 4804
本程序可以结束电子教室程序,或以其他方式脱离电子教室控制。支持学生机房管理助手
Happyclass 完美破解极域,学生机房管理助手密码及限制!
牛逼
07-14 5023
声明:本软件仅供学♂习♂ 话不多说上网址: mg.rthe.xyz 下载右边的Happy Class即可使用! 现支持: 1.随时防护 2.淦翻小助手 3.2015版窗口化 Roadmap 1.控制同学电脑,包括cmd 2.去除url过滤 悄悄告诉你, 配合这个更好用!(这个不是本文作者写的) 自动脱控实现的方法: 检测键盘,若按到热键,存下StudentMain.exe进程在硬盘中的位置,杀掉StudentMain.exe 再按则用WInExec启动之前存的位置 淦小助手就更简单,直接进程挂起(API
极域电子教室&学生机房管理助手解控
牛逼
03-10 3577
自从出了学生机房管理助手这个玩意后,想必大家上课认真了许多? 是的,这篇博客,让你好好上课(滑稽)! 嗯,回到主题 自动教程: 直接到我们官网下载 手动教程版本1(不推荐理由:不灵活,一旦被控制无法重新解控;操作麻烦) 1.打开极域目录(一般是C:\Program Files (x86)\Mythware) 2.找到specialset这个程序 3.两个勾勾勾上 4...
逆向分析学生机房管理助手7.5随机进程算法
不蚌埠!
10-23 875
无论作者怎么地,我都保持更新,尽力让大家获得更好的体验
极域电子教室&学生机房管理助手(好好上课)教程
牛逼
01-01 4434
自从出了学生机房管理助手这个玩意后,想必大家上课认真了许多? 是的,这篇博客,让你做回自己! 自动教程: 直接到我们官网下载 手动教程版本1 1.打开极域目录(一般是C:\Program Files (x86)\Mythware) 2.找到specialset这个程序 3.两个勾勾勾上 4.完事 5.如果要恢复控制,直接把勾勾去掉 手动教程版本2 ...
生成正逆向最大分析算法代码
05-31
以下是正逆向最大分析算法的 Python 代码实现: 正向最大匹配算法: ```python def forward_max_match(seg_list, word_dict): result = [] while seg_list: for i in range(len(seg_list), -1, -1): seg = "".join(seg_list[:i]) if seg in word_dict: result.append(seg) seg_list = seg_list[i:] break else: result.append(seg_list[0]) seg_list = seg_list[1:] return result ``` 逆向最大匹配算法: ```python def backward_max_match(seg_list, word_dict): result = [] while seg_list: for i in range(len(seg_list), 0, -1): seg = "".join(seg_list[i-1:]) if seg in word_dict: result.insert(0, seg) seg_list = seg_list[:i-1] break else: result.insert(0, seg_list[-1]) seg_list = seg_list[:-1] return result ``` 其中,`seg_list` 是待分词的文本,`word_dict` 是词典。这两个算法的实现思路非常类似,只是在匹配顺序上有所不同。 需要注意的是,这两个算法的性能并不理想,实际应用中可能需要进行优化,例如引入二分查找、动态规划等技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值