解開<批處理潛行者>的秘密,讓我們自己也寫一個潛行者

解開<批處理潛行者>的秘密,讓我們自己也寫一個潛行者最后由 gfwlxx 于 -6-26 03:14在整理電腦中文件, 翻到了一些控制臺工具,我整理文件的方法是: 全部重寫,然后把代碼保存到我的類庫中! 寫一個刪一個,控制臺的小程序一點技術含量都沒有我花了幾個小時, 我已經把WinEggDrop的所有控制臺程序集都重寫了一邊, 然后都刪除了現在翻到 <命令行第三方匯總.rar> 這個文件, 是從這個論壇下的, 一些沒有任何技術含量的工具, 最下面開始數是 <批處理潛行者>, 這個文件用了點隱藏的技術順便就發個帖出來有5.0, 6.0 兩個版本, 拿6.0來開刀------------------------------------------------批處理潛行者分析:方法1:簡單文件分析法a. 生成生成的時侯會觀察到會生成這個文件:c:Program Files1kTempe.dll 有興趣的可以追中一下b.hex你可以看到它會把批處理附加到文件尾c.運行發現會創建 C:CSK.DLL關鍵在后面: C:Program FilesCommon Files1kTemps.bat// 最后潛行的批處理會出現在這里注: 批處理內容為 echo %0 & pasue - 呵呵, 最后那個創建的地方, 用文件監視器是追蹤不到的.----------------------------------------- 2.逆向分析, 自己編寫:程序大家可以從 - 命令行第三方匯總.rar 下載a.脫殼加殼強殼, ASProtect,難不倒我, 三下五除二, 可以追蹤到OEP是 00297000, od脫殼之然后修復一下輸入表可以看到程序是用delphi寫de : Borland Delphi 6.0 - 7.0b.強奸從脫殼的文件中提取而來五個head文件,其中head3為批處理文件, 轉換為明碼后他使用了unicode方式的, 轉換后為&cls@if not exist %~f1 (@echo File doesn't exist!&@goto :eof) else (echo exit|cmd /kprompt e100 FF FE 20 26 63 6C 73 0D 0A $_rcx$_9$_n t12.5$_w$_q$_|debug>nul&&@copy t12.5+%~f1 %~dpn1_jm.bat>nul&&echo Successful!&del t12.5)