[讨论]最新机器狗破解 机器, 破解, 讨论

冰绿茶

[讨论]最新机器狗破解
议题作者：光芒果

前几天别人给我一份破所有还原的下载者，想把里面的下载地址改成自己的。

这个下载者用WinUpack 0.39 final压过，脱后修复了资源，在资源里看到一个HOOK用的DLL，一个

Downloader的exe，一个Kill杀软的exe，一个破还原的驱动SYS。

程序工作时先从自身释放所有资源，还会感染系统文件explorer.exe,winhlp32.exe，感染时


会在explorer.exe,winhlp32.exe的头部添加一个空间，用来写原来资源里Downloader的

内容。然后读取下载者自身（不在资源那块）的一个明文的下载地址，这个地址好改。

但重启后是被感染的explorer.exe起作用，而这个被感染的文件是读取Downloader（也就是原下载者的

资源部分那个Downloader）里面的下载地址，（也就是说原来下载者有两个放下载地址的地方，一个是

重启前读取的，另一个是重启后读取的。）

问题是资源里的Downloader也是经过WinUpack 0.39 final压过的，要改里面的地址必须要脱壳，

而脱壳后肯定会增大，脱壳后的Downloader可以正常运行，但导入原下载者后运行直接蓝屏。

到底感染的时候出的问题 还是原程序在读取SYS驱动（驱动文件排在Downloader之后）的时候出的问题？

怎么解决？

如分析有需要可以找我要样本Q：89739102