本帖最后由 qq104952551 于 2021-1-20 12:01 编辑
原贴地址:https://bbs.sunwy.org/forum.php? ... 0464&extra=page%3D1
分析:
这个补丁运行后会在同文件夹下生成一个Temp32.dat,将Temp32.dat改名为GraspStd4.exe后可直接运行。另外这个补丁在我的电脑上运行会提示没找到加密狗,不管是运行没改的还是运行改过的都一样,根据我分析作者只是改了三处的跳转为nop填充。软件信息中的用户数,时间等好像是改的,不是系统里面的。
而且我没想通的是作者为什么会让软件的验证和上传运行,而不是跳过。
代码部份:00592B73 . /75 24 jnz short GraspStd.00592B99 ; ----------------此处nop
00592B75 . |68 3C2C5900 push GraspStd.00592C3C ; 验证文件"gjpyz_上传"成功导出到您的桌面上,具体路径为:
00592B7A . |FF75 F8 push dword ptr ss:[ebp-0x8] ; kernel32.767B343D
00592B7D . |68 142C5900 push GraspStd.00592C14 ; \gjpyz_上传.upd
00592B82 . |8D45 C8 lea eax,dword ptr ss:[ebp-0x38]
00592B85 . |BA 03000000 mov edx,0x3
00592B8A . |E8 61E8E6FF call <jmp.&rtl150.@System@@UStrCatN$qqrv>
00592B8F . |8B45 C8 mov eax,dword ptr ss:[ebp-0x38] ; wow64.7546E0D8
00592CD6 . /0F85 43010000 jnz GraspStd.00592E1F ; ---------------------此处nop
00592CDC . |C645 D7 01 mov byte ptr ss:[ebp-0x29],0x1
00592CE0 . |8D45 CC lea eax,dword ptr ss:[ebp-0x34]
00592CE3 . |8B55 DC mov edx,dword ptr ss:[ebp-0x24]
00592CE6 . |8B92 CC030000 mov edx,dword ptr ds:[edx+0x3CC]
00592CEC . |B9 00000000 mov ecx,0x0
00592CF1 . |E8 4AE6E6FF call <jmp.&rtl150.@System@@LStrFromUStr$>
00592CF6 . |8B45 CC mov eax,dword ptr ss:[ebp-0x34]
00592CF9 . |E8 22E6E6FF call <jmp.&rtl150.@System@@LStrToPChar$q>
00592CFE . |E8 8D88EDFF call GraspStd.0046B590
00592D03 . |48 dec eax ; kernel32.BaseThreadInitThunk
00592D04 . |0F85 15010000 jnz GraspStd.00592E1F ; ---------------此处nop
00592D0A . |B8 D02E5900 mov eax,GraspStd.00592ED0 ; 恭喜您,离线验证成功!
00592D0F . |E8 3C25E7FF call <jmp.&GraspCMRunStd.@Udllmessageint>
总结:
1.在我的电脑上会提示服务器没有加密狗;
2.相当于是爆破方法;
3.没有真正去回传。
以上只是个人观点,不对之处请大牛指证批评。
|