吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1045|回复: 10
收起左侧

[求助] 程序运行后就删除自身,应该怎么来分析?

[复制链接]
小南跑 发表于 2024-8-11 23:51
100吾爱币
一个辅助程序,调试的时候我直接用x32dbg加载

结果调试程序刚启动,就会终止而神奇的是——这个时候软件界面出来了!


一开始我以为是某种反调试

于是我把它运行起来,在用x32dbg附加它,结果发现它的路径竟然是Temp文件夹,如下图:

01.png

这就奇怪了,明明我是在桌面双击运行的啊,怎么路径跑到了这里了? 于是我猜测它可能在启动前进行了复制操作

事实证明果然如我猜测的这样,程序启动后,会调用:“kernel32.dll”里边的“CopyFileA” 把自身复制到Temp文件夹,然后在启动,启动后又直接删除自身。

分析到这里我就想,那能不能hook copyfileA 到我指定的文件夹呢?


02.png

经过我的测试,确实可以复制到我指定的文件夹,但是,它运行后又会复制自身到Temp,这样就成了俄罗斯套娃了,永远没完没了



并且程序启动过程中还调用了有CreateProcessA这个API函数


中间我也尝试过能不能搜索“del”这个关键词,看看它究竟调用了哪个api删除自身,毕竟它有删除行为的,但是都没有断下来。


至此我也不知道该怎么分析它了


不求PJ,想知道怎么才能不让它删除自身,或者不复制到Temp,同时程序还能正常运行,该怎么往下分析啊?


求大佬看到能帮忙指点一二,真的非常感谢



样本链接如下:

链接:https://ww2.lanzouq.com/itqIK276uzne
密码:dnbe






发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

qq465881818 发表于 2024-8-12 00:00
在导入x64dbg之前 先运行 目标程序 不要关闭,这样目标程序就被占用了,就不会删除自身了,然后在 x64dbg导入
爱飞的猫 发表于 2024-8-12 00:43
可以看看它复制后运行的启动参数。可能是启动后在新进程执行删除。
ps122 发表于 2024-8-12 10:30
这个应该就是打包后的效果(类似于单文件),直接把解压后的exe路径下文件复制出来应该可以直接运行或分析了
夜陌 发表于 2024-8-12 10:32
来个正版卡,试试山寨
夜陌 发表于 2024-8-12 10:35
本帖最后由 夜陌 于 2024-8-12 10:36 编辑

易游的,发个正版卡看看时间数据
shaokui123 发表于 2024-8-12 10:36
是不是通过dos命令删除自身的
 楼主| 小南跑 发表于 2024-8-12 11:08
夜陌 发表于 2024-8-12 10:35
易游的,发个正版卡看看时间数据

谢谢大佬回复,这是测试卡:XXDrv3wA4gqxNi4LX3c2vQJO5ehmE8Sp

占用您的宝贵时间了,帮简单分析一下吧,它是怎么一个运行机制,再次感谢
 楼主| 小南跑 发表于 2024-8-12 11:12
ps122 发表于 2024-8-12 10:30
这个应该就是打包后的效果(类似于单文件),直接把解压后的exe路径下文件复制出来应该可以直接运行或分析 ...

感谢老师指点,想问一下怎么找到您说的“解压后的exe路径”呀?是需要监控哪个API呀?

我实在是不知道要怎么分析它了,甚至我都不确定它是不是易语言写的,因为没有找到语言特征
夜陌 发表于 2024-8-12 11:15
小南跑 发表于 2024-8-12 11:08
谢谢大佬回复,这是测试卡:XXDrv3wA4gqxNi4LX3c2vQJO5ehmE8Sp

占用您的宝贵时间了,帮简单分析一下吧 ...

我总感觉他这个是破解后 二次加密的
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-13 04:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表