吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11683|回复: 20
收起左侧

[原创] 给Teleport VLX这个神器做4台手术

   关闭 [复制链接]
冥界3大法王 发表于 2017-11-13 12:01
本帖最后由 冥界3大法王 于 2017-11-13 13:19 编辑

原创:作者  冥界三大法王
    文章仅在吾爱破解 和  飘云阁论坛 发布 Teleport Pro这个神器可能大家并不陌生,1999年的电脑爱好者增刊上就有明确的使用方法,网站抓取神器(俗称离线下载工具),后来被天国狗们瞎J胡改名字
烤,严重的畜生行为 ! 自己做不出软件用人家的还好,非要把软件名字牒权等信息统统改成国人制作的,没有人性,丧失良心被狗吃了!
费话说的不少了,我们还是来说说其他的内容吧。
Snap1.png
这家公司当年只有一个产品 ,最近几年楼主没怎么使用就不太清楚 了
但是前几天需要采集ahk论坛的时候 下载了一个新版本发现这个东西又更新了,而且这些更新里面有四款产品
他们分别是图中所示的这几个版本,如果大家比较细心,就会看到底下的一行英文字儿,这一行英文字的意思就是说现在已经支持正则表达式,
大家看到了没有?上面的售价是Price:  $1,995.00
大家 知道支持正则意味着什么?
如果大家会正则就知道了,这样就能按更多的条件过滤 取到更多想要的东西 ,省了接下来的整理工作了。
Snap2.png
而最贵的就是上面的这款,将近5000美元,
我们今天要搞的这款就是 Teleport VLX
朋友说这个软件有多处暗桩 ,这个软件以前是折腾汉化过的,最有特色的就是启动时的检测和自校验
哪怕你汉化时修改了一个字节  或 是  文件名 被修改 也会
下边的两个提示  
Snap3.png

另外 一个提示 我就不截图了,就是文件被修改 提示你感染病毒 ~~
另外 ,这个软件还有 以下的两个 退出的暗桩
当年单击工程向导,创建了文件后,按理说点击运行,就可以抓取网页了 ,这时候程序却退出了
还有一处就是载入以前的工程,按理说点击续传 就可以接着工作了。
但是 !
Snap4.png
这里却没有动静 !
接下来,我们开始 动手,把这些问题 一个 一个的解决掉



1. 去掉文件名 不能 为 其他 或是 检测到病毒

Snap5.png
我们先汉化一点点 ,一个文件菜单项现在在运行的话,就会提示你程序已经感染病毒!
现在使用暂停 Alt+K 快速的定位,到下面的这个地方,
Snap6.png

或者  你使用字中搜索   也是可以的 ,更快一些
Snap7.png
搜索病毒字样  也能定位
[Asm] 纯文本查看 复制代码
004192D0  /$  55            push    ebp                              ;  这里段首
004192D1  |.  8BEC          mov     ebp,esp
004192D3  |.  6A FF         push    -0x1
004192D5  |.  68 B9B34A00   push    vlx.004AB3B9                     ;  SE 处理程序安装
004192DA  |.  64:A1 0000000>mov     eax,dword ptr fs:[0]
004192E0  |.  50            push    eax
004192E1  |.  64:8925 00000>mov     dword ptr fs:[0],esp
004192E8  |.  83EC 18       sub     esp,0x18
004192EB  |.  56            push    esi
004192EC  |.  6A 00         push    0x0
004192EE  |.  6A 20         push    0x20
004192F0  |.  6A 00         push    0x0
004192F2  |.  8D4D E0       lea     ecx,[local.8]
004192F5  |.  E8 569CFEFF   call    vlx.00402F50
004192FA  |.  C745 FC 00000>mov     [local.1],0x0
00419301  |.  A1 D0294E00   mov     eax,dword ptr ds:[0x4E29D0]      ;  C:\Users\wcc\Desktop\vlx.exe
00419306  |.  50            push    eax
00419307  |.  8D4D E0       lea     ecx,[local.8]
0041930A  |.  E8 F1000000   call    vlx.00419400
0041930F  |.  837D 08 00    cmp     [arg.1],0x0
00419313  |.  74 35         je      short vlx.0041934A
00419315  |.  8B4D 08       mov     ecx,[arg.1]
00419318  |.  51            push    ecx
00419319  |.  8B15 D0294E00 mov     edx,dword ptr ds:[0x4E29D0]      ;  C:\Users\wcc\Desktop\vlx.exe
0041931F  |.  52            push    edx
00419320  |.  E8 1FE7FFFF   call    vlx.00417A44
00419325  |.  83C4 04       add     esp,0x4
00419328  |.  50            push    eax
00419329  |.  E8 22290500   call    vlx.0046BC50
0041932E  |.  83C4 08       add     esp,0x8
00419331  |.  85C0          test    eax,eax
00419333  |.  74 15         je      short vlx.0041934A               ;  这里也可以跳走
00419335  |.  6A 00         push    0x0
00419337  |.  6A 00         push    0x0
00419339  |.  68 E40B4D00   push    vlx.004D0BE4                     ;  This program's name has been changed; please rename the program to its original name.
0041933E  |.  E8 59480700   call    vlx.0048DB9C
00419343  |.  6A 02         push    0x2
00419345  |.  E8 248E0400   call    vlx.0046216E
0041934A  |>  A1 D00B4D00   mov     eax,dword ptr ds:[0x4D0BD0]
0041934F  |.  8B48 04       mov     ecx,dword ptr ds:[eax+0x4]
00419352  |.  894D F0       mov     [local.4],ecx
00419355  |.  8D4D E0       lea     ecx,[local.8]
00419358  |.  E8 1396FEFF   call    vlx.00402970
0041935D  |.  3945 F0       cmp     [local.4],eax
00419360  |.  73 41         jnb     short vlx.004193A3
00419362  |.  6A FF         push    -0x1
00419364  |.  8B55 F0       mov     edx,[local.4]
00419367  |.  52            push    edx
00419368  |.  8B45 E0       mov     eax,[local.8]
0041936B  |.  50            push    eax
0041936C  |.  E8 4FC1FEFF   call    vlx.004054C0
00419371  |.  83C4 0C       add     esp,0xC
00419374  |.  8BF0          mov     esi,eax
00419376  |.  6A FF         push    -0x1
00419378  |.  8D4D E0       lea     ecx,[local.8]
0041937B  |.  E8 F095FEFF   call    vlx.00402970
00419380  |.  8B4D F0       mov     ecx,[local.4]
00419383  |.  83C1 08       add     ecx,0x8
00419386  |.  2BC1          sub     eax,ecx
00419388  |.  50            push    eax
00419389  |.  8B55 F0       mov     edx,[local.4]
0041938C  |.  8B45 E0       mov     eax,[local.8]
0041938F  |.  8D4C10 08     lea     ecx,dword ptr ds:[eax+edx+0x8]
00419393  |.  51            push    ecx
00419394  |.  E8 27C1FEFF   call    vlx.004054C0
00419399  |.  83C4 0C       add     esp,0xC
0041939C  |.  03F0          add     esi,eax
0041939E  |.  8975 DC       mov     [local.9],esi
004193A1  |.  EB 07         jmp     short vlx.004193AA
004193A3  |>  C745 DC 00000>mov     [local.9],0x0
004193AA  |>  8B55 DC       mov     edx,[local.9]
004193AD  |.  8915 F8F24D00 mov     dword ptr ds:[0x4DF2F8],edx
004193B3  |.  A1 D00B4D00   mov     eax,dword ptr ds:[0x4D0BD0]
004193B8  |.  8B0D F8F24D00 mov     ecx,dword ptr ds:[0x4DF2F8]
004193BE  |.  3B08          cmp     ecx,dword ptr ds:[eax]
004193C0  |.  74 15         je      short vlx.004193D7               ;  明显这里可以跳走
004193C2  |.  6A 00         push    0x0
004193C4  |.  6A 00         push    0x0
004193C6  |.  68 3C0C4D00   push    vlx.004D0C3C                     ;  This program has been altered, possibly by a virus; program execution will stop now.



Snap8.png

所以改法  有2种
1.端首  我们ret
2.或是 下面的两处 JMP掉
这样文件名 不能修改 和  病毒提示问题就解决了 。
=========================================================================
下面来搞目前发现的几出退出暗桩  
Snap9.png
接下来创建工程向导,来诱发这个暗桩

按理说该下下面这个api
Snap10.png

断下来后 来到下面的这个地方
Snap11.png
很 明显   执行过后 就会闪退!
所以 直接 ret 就好
这样改完之后
又会发现有些不彻底
再向上几个又发现一个调用点
能来到启动文件名检测的地方 ,所以我们修改那个地方更好。
本地调用来自 00419345, 004193D2, 00433706, 00439E9A, 0043CDD6, 0043E101, 0043ED62, 00440F39, 00441918, 0044270F, 00442C01
这样改之后又发现一个负作用
Snap12.png
我们再来分析 一下
Snap13.png
大家 看到最后一个地方的F2  cc断点没有? 里边F7 ret 就彻底治愈了 ~~
这样这个程序就被我们基本上玩死了。

免费评分

参与人数 27吾爱币 +24 热心值 +26 收起 理由
kainstan + 1 + 1 求下载地址
正电拍拍 + 1 + 1 谢谢@Thanks!
caoaries + 1 + 1 谢谢@Thanks!
chkds + 1 找不到VLX版的啊。。。
雪莱鸟 + 2 + 1 本来想进来看成品的,哈哈哈,楼主强悍~
C-ARan + 1 热心回复!
52pj05878665 + 1 + 1 求下载地址大神
Alonc + 1 + 1 已答复!
rox + 1 + 1 我很赞同!
honoer + 1 + 1 已答复!
Three_fish + 1 + 1 谢谢@Thanks!
Peter_ + 1 + 1 用心讨论,共获提升!
SomnusXZY + 1 + 1 热心回复!
renchaofly + 1 不懂纯支持
盐酸左氧氟沙星 + 1 我很赞同!
mlwy + 1 谢谢@Thanks!
onlylovewww + 1 + 1 Teleport VLX网站上没有下载啊
xiaoleilll + 1 + 1 谢谢@Thanks!
HeatAngel + 1 + 1 谢谢@Thanks!
灵影 + 1 + 1 谢谢@Thanks!
zhh4827 + 1 + 1 谢谢@Thanks!
你正在输入 + 1 + 1 已答复!
jaffa + 1 + 1 谢谢@Thanks!
janth + 1 + 1 桌面背景可以
miss_007 + 1 + 1 热心回复!
sgyz520 + 1 + 1 已答复!
总理 + 1 + 1 请勿灌水,提高回帖质量是每位会员应尽的义务!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
hack528 发表于 2017-11-13 12:13
提示: 该帖被管理员或版主屏蔽
疯子哥 发表于 2017-11-13 12:15
且情且珍惜 发表于 2017-11-13 12:28
总理 发表于 2017-11-13 12:32
持续关注
jiaokai 发表于 2017-11-13 12:35
感谢分享  支持
微笑男孩 发表于 2017-11-13 12:57
感谢分享,正好学习下
镇守爱情 发表于 2017-11-13 12:58
我来支持你来的
w1100312 发表于 2017-11-13 13:08
楼主 确实厉害   值得尊敬!!!!!!!!!!!!!!
头像被屏蔽
po1718 发表于 2017-11-13 13:14
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 04:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表