逆向分析学生机房管理助手7.5随机进程名算法

最新推荐文章于 2024-06-18 13:53:12 发布
最新推荐文章于 2024-06-18 13:53:12 发布
阅读量890 收藏 3
点赞数 3
文章标签: windows c++ 安全 c# visual studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42112038/article/details/127468986
版权
本文详细介绍了如何逆向分析学生机房管理助手7.5版本的随机进程名算法。通过分析守护进程jfglzs.exe和主界面main.exe,找到了关闭进程的方法,揭示了程序在启动、蓝屏和退出时的逻辑。通过遍历进程和特定条件筛选,成功定位并关闭了目标进程。
摘要由CSDN通过智能技术生成

敬告作者:你这么天天更新的,其实很少有老师愿意给每台电脑关掉还原、更新软件、开启还原,真正更新率低得离谱,也没啥新功能,仅仅为了不被杀就绞尽脑汁更新算法,开销大,性价比低。如果你看到这篇文章,希望你好好考虑更新一些造福更多人的软件,而不是纠结于这个!

学生机房管理助手更新了7.5版本,原先我预备最近就发布已破解7.4的极域工具包,结果这么个,又又又增加了工作量!

这次狠活多,抓紧上车~

目录

惯常的做法

首页

先看看运行的进程有哪些:

0
又是prozs.exe和jfglzs.exe。

我在博客全网首发!逆向分析学生机房管理助手7.4随机进程名算法中用NETReactorSlayer脱壳,而7.5的也如此。

1
给prozs脱壳后,用dnSpy打开:

2
3
定位到Form1_Load()方法,摆在眼前的,有熟悉的日期、求余、拼接,但是多了一个算法Math.Round(),它们重复赋值给text变量,那么毫无疑问,生效的一定是后面的。

有VB基础的读者可以看出,后者是随机的,每次启动都不同,与日期没有多大关系。
那么这样的话,我们没有进程名算法,如何找到关闭进程的方法?

从守护进程找起

既然进程名完全随机,那么它的守护进程jfglzs.exe、主界面main.exe、卸载程序uninstall.exe等都是如何找到它的呢?

我们知道prozs.exe(分析对象)与jfglzs.exe具有互相守护的关系,识别到对方被关就会蓝屏(有些时候则是不声不响地重新启动对方)。

所以这一步,我们脱壳、反编译jfglzs.exe。在源码中搜索相关关键词,我们就能找到它蓝屏的时候的代码:

4
这里启动蓝屏窗口,然后启动Timer(它负责置顶窗口、限制鼠标ClipCursor()并发出哔哔声)。

但在这里,我们找不到启动条件,需要分析调用链,而由于我懒 这程序写得太ex,分析有些困难,就没找调用处。

小助手自己可以关闭小助手

我们被蓝屏,或者在主界面选择“退出程序”,输入密码,就能退得干干净净,这又是怎么做到的呢?这边,我脱壳并反编译了主界面main.exe。

dnSpy拖进程序,可以看到两个窗口Form1Form3。前者是主界面,后者便是“退出程序”的窗口。

此处为找到退出逻辑的过程:
构造函数Form3()->初始化方法InitializeComponent()->确定按钮Button1->单击事件method_0()
在单击事件中,程序先判断密码是否正确(密码是md5,不可还原),然后调用退出方法method_3()
这个方法就是我们的目标,它杀掉了jfglzs.exe、proze.exe(就是我们要的算法),停止了zmserv服务。

在开始,读取了已获取到的prozs.exe名字,然后就是杀进程。好奇名字怎么来的:

5
这很显然不是我们要的,毕竟人家都随机了,还能找到人家名字,想想都不可能。

再往下看,发现了遍历进程的可疑代码:

6

它便是目标代码所在地。由于prozs随机进程算法设定的长度是10,因此在这里先筛选名字长度为10的进程。随机算法的特别限制使每一个字符不小于100不大于109(即范围是字母d到字母m,含,可以看看题首图是不是这样)。根据这些特性,我们就能筛查出prozs.exe的真面目。尽管难免会误杀,但符合这些限制的进程是少之又少,可以放心。

结论

改写成c++:

#include <windows.h>
#include <tlhelp32.h>
//以上为所需头文件

DWORD prozsPid;
//以下为7.5版本逻辑
PROCESSENTRY32 pe;
pe.dwSize = sizeof(PROCESSENTRY32);
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (Process32First(hSnapshot, &pe)) {
	do {
		//筛选长度为10的进程名(不包含末尾“.exe”)
		if (strlen(pe.szExeFile) == 14) {
			//遍历字符
			for (int j = 0; j < 10; j++) {
				char n7 = pe.szExeFile[j];
				//符不符合d-m之间
				if (!(n7 >= 100 && n7 <= 109))goto IL_226;
			}
			//就是你!
			prozsPid = pe.th32ProcessID;
			break;
		}
		IL_226:
		;
	} while (Process32Next(hSnapshot, &pe));
}
CloseHandle(hSnapshot);

最后算出prozsPid的值就是prozs.exe的进程ID,和jfglzs.exe同时结束,并停止zmserv服务,便可以关闭小助手。

全文完。
这篇文章属全网首发,很多问题都是我自己解决的,写得那么辛苦,大伙给个点赞或收藏鼓励一下我吧!您的支持是我更新的动力。

小流汗黄豆
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【干货最多】逆向分析学生机房管理助手7.8随机进程算法、极域U盘、网络、键盘限制
不蚌埠!
11-26 3555
机房助手+极域三太子,恶心人的极致~~~
极域电子教室&学生机房管理助手(好好上课)教程
牛逼
01-01 4458
自从出了学生机房管理助手这个玩意后,想必大家上课认真了许多? 是的,这篇博客,让你做回自己! 自动教程: 直接到我们官网下载 手动教程版本1 1.打开极域目录(一般是C:\Program Files (x86)\Mythware) 2.找到specialset这个程序 3.两个勾勾勾上 4.完事 5.如果要恢复控制,直接把勾勾去掉 手动教程版本2 ...
极域工具包 1.2重磅发布!解除断网,解禁USB、键盘,增加解硬盘保护功能!
不蚌埠!
06-10 1万+
极域工具包1.2版本,增加机房常用几个功能,几乎是独家专供
如何防止学生脱离电子教室的控制
最新发布
zmyxl2008的博客
06-18 377
教师可以通过极域的监控功能发现学生访问的游戏网站,并将其添加到黑单中,从而阻止学生访问。此软件还能保护极域、红蜘蛛、锐捷、联想等电子教室或云课堂,防止学生脱离教学控制,学生启用防火墙、拔网线、退出电子教室…综上所述,通过结合技术手段和管理措施,可以有效地防止学生脱离电子教室的控制,从而维护教学秩序和学生的学习效果。明确告知学生脱离电子教室控制的后果,并强调遵守规定的重要性。可以禁止扫雷、纸牌、google浏览器的小恐龙、edge浏览器的冲浪游戏,还有好多实用的功能。脱离极域电子教室的控制,
极域工具包 1.1正式发布!窗口化极域,解键盘锁,适配学生机房管理助手7.4-7.5
热门推荐
不蚌埠!
10-23 1万+
上课有了它挂在后台,既能听课,又能做自己的事情!岂不美哉?
学生机房管理助手去除控制续
weixin_57476554的博客
05-01 1459
学生机房管理助手去除控制
AES算法逆向分析.docx
05-14
AES算法逆向分析,AES的全称是Advanced Encryption Standard,意思是高级加密标准。AES出现主要是为了替代DES加密算法,DES算法的密钥长度是56Bit,算法的理论安全强度是2的56次方。但在二十世纪中后期,计算机飞速...
易语言逆向分析助手3.0
08-04
《易语言逆向分析助手3.0:深入解析与应用》 易语言逆向分析助手3.0是一款专为易语言编程爱好者和安全研究人员设计的工具,它旨在帮助用户理解和剖析由易语言编写的程序,进一步提升逆向工程的效率。易语言是中国...
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
安卓逆向助手 安卓逆向助手2.2
08-07
11. **库文件**:"lib"目录通常包含软件运行所需的库文件,这些库可能包含特定的功能模块,例如加密算法、网络通信等,是逆向分析的重要组成部分。 综上所述,安卓逆向助手2.2是一个全面的安卓应用分析平台,它提供...
Android官网逆向助手少月版V2018.zip
11-28
【Android官网逆向助手少月版V2018】是一款专为安卓应用逆向分析设计的工具,它集成了多种实用功能,旨在帮助开发者、安全研究人员或爱好者深入理解APK文件的内部工作原理,从而进行调试、优化或安全检测。...
极域电子教室退出学生端工具包
11-27
用于退出极域电子教室学生端,使用方法请看本人博文极域九法。请勿用于非正当用途!POWERED BY PHANTOOM(LSH)
易语言取随机进程
08-22
随机进程系统结构:取随机字, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------__启动窗口_将被销毁 || ||------取随机
机房学生老师互动系统破解版
03-12
机房教师教学软件端,教师演示,控制学生屏幕,一键机房关机
学生机房管理助手v9.9
01-08
一、保护极域、红蜘蛛、锐捷、联想等电子教室或云课堂,防止学生脱离控制   二、允许或禁止USB存储设备(非注册表法,不影响USB鼠标);   三、保护还原系统,禁止使用幽灵网吧辅助、冰刃、wsyscheck、xuetr等系统破坏类工具;   四、禁止扫雷、纸牌、谷歌浏览器的小恐龙、Edge浏览器的冲浪游戏。   五、在桌面右上角显示机器编号(取计算机的后5位)。
随机进程-易语言
06-13
随机进程
最新支持7.2!用C++干掉讨厌的学生机房管理助手
不蚌埠!
06-10 1560
逆向学生机房管理助手,算出随机进程以结束它
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 502
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
学生机房管理服务器系统,学生机房管理助手
weixin_33514475的博客
08-10 876
禁止网吧幽灵,禁止U盘,保护电子教室,防止学生脱离电子教室控制;功能:一、全力保护网络电子教室的运行:1、禁止终止网络电子教室的进程;2、禁止禁用本地连接,修改IP等;3、禁止启用windows防火墙或安装瑞星等防火墙;4、禁止选择windows“带网络连接的安全模式”来脱离电子教室的控制;5、禁止拔掉网线;6、防止学生利用注销栏来取消电子教室的运行(学生可用360体检立即恢复注销栏运行栏不需重启...
探索软件逆向分析的核心技术和实践指南
软件逆向分析实用技术是一本深入探讨该领域的专业书籍,由宁书林和刘键林共同撰写。本书针对软件工程师和信息安全专家,提供了实用的技术指南。它涵盖了从传统的软件正向工程(即根据功能需求设计和开发软件)的对立...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值