Pervious Post: 
[转]Goodbye Google!
[转]Goodbye Google!Next Post: 
别拿iPhoneOS不当平台
别拿iPhoneOS不当平台3DDown网站下载的keygens带毒,附“杀鸡取卵”法取出需要的keygen而不当炮灰
[ 2010/01/25 01:46 | by x-magic ]
好长时间没写这么技术性的文章了。上次装win7为了用anydvd的keygen结果成功中招,现在仍悔恨不已
。(感谢MSE+360拦下了有害部分,但是保险起见还是全盘查杀了重装。反正系统乱得不得了
)
首先我们看一下从3ddown下载的keygen的结构。上次令我中招的keygen已经删了,这次用新下载的truelaunchbar的keygen做讲解:
首先看看可爱的包包没解开有多少杀软蒙住了双眼
现在开始拆解了:
外表朴实无华的压缩包
内含一个exe文件
P.S.当你点下去的时候,漫长的旅程就要开始了……
我把这个exe解出来,右键,明显是一个sfx自解压,解之~
解出来这么多东西,蛮复杂的嘛~
看看文件大小,其中jTemp.dat最大,其次就是唯一的exe文件了。
想想,会不会exe又是一个sfx呢?右键看看~不是;记事本搜rar文件头?没有~
看来没什么重要的东西,为了保险,删之~
目录里面的ini、ico文件显然没用,一并删了~
这时候就只剩下两个dat文件了。想想有些时候这种data文件其实是zip压缩包,那就加上后缀名看看:
先解开那个最大的看看,果然能打开!(好兴奋)可惜都是带星号的文件,加密了。加之文件名看上去就很BT,病毒应该就是这些了。
无视它,直接送virscan
等着扫描这段时间看看另一个包包有什么吧:
哈哈~中头彩了~这不是要找的东西么~
赶快MSE一下:
嗯~没威胁。看来就是他们了……
不过以防万一,送virscan
我们提回来之前的那个送检的包包。病毒很聪明,加了密码,所以可怜的virscan就无能为力了:
看来肯定是病毒了。实在是没时间去穷举密码,如果举出来估计又有头彩能中了~哈哈哈哈哈
话说回来,看看我们真正需要的东西安不安全啊:
趁送检的时间百度了一下:
看来那个包包果然是病毒
看见了,即使是送过去的keygen也是满身泥巴:
http://virscan.org/report/4cdcbd6c8d27682e7fd7872e6208efb4.html
还有著名的agent,定会搞得你心神不宁
所以嘛~慎用
=================================
基本上就是这样了。刨去keygen会被认为是病毒之外,其他的都好说。所以我在这里把思路在理一遍,方便大家杀鸡取卵:
解开第一层压缩包→解开那个sfx自解压壳→在gTemp.dat后面加zip后缀→解开这个包,取卵~完成
不过,经过这么一番折腾 我也不敢用这个keygen了。干脆放弃TLB吧。
有需求的同志可以考虑用取来的卵,但是被杀出各种各样的毒,估计很多人都不敢用了吧。
P.S.破解软件使用有风险,请大家不要冒生命危险,以防病毒跨省追捕。
Last modified by x-magic on2010/01/25 01:50
。(感谢MSE+360拦下了有害部分,但是保险起见还是全盘查杀了重装。反正系统乱得不得了)首先我们看一下从3ddown下载的keygen的结构。上次令我中招的keygen已经删了,这次用新下载的truelaunchbar的keygen做讲解:
首先看看可爱的包包没解开有多少杀软蒙住了双眼
现在开始拆解了:
外表朴实无华的压缩包
内含一个exe文件
P.S.当你点下去的时候,漫长的旅程就要开始了……
我把这个exe解出来,右键,明显是一个sfx自解压,解之~
解出来这么多东西,蛮复杂的嘛~
看看文件大小,其中jTemp.dat最大,其次就是唯一的exe文件了。
想想,会不会exe又是一个sfx呢?右键看看~不是;记事本搜rar文件头?没有~
看来没什么重要的东西,为了保险,删之~
目录里面的ini、ico文件显然没用,一并删了~
这时候就只剩下两个dat文件了。想想有些时候这种data文件其实是zip压缩包,那就加上后缀名看看:
先解开那个最大的看看,果然能打开!(好兴奋)可惜都是带星号的文件,加密了。加之文件名看上去就很BT,病毒应该就是这些了。
无视它,直接送virscan
等着扫描这段时间看看另一个包包有什么吧:
哈哈~中头彩了~这不是要找的东西么~
赶快MSE一下:
嗯~没威胁。看来就是他们了……
不过以防万一,送virscan
我们提回来之前的那个送检的包包。病毒很聪明,加了密码,所以可怜的virscan就无能为力了:
看来肯定是病毒了。实在是没时间去穷举密码,如果举出来估计又有头彩能中了~哈哈哈哈哈
话说回来,看看我们真正需要的东西安不安全啊:
趁送检的时间百度了一下:
看来那个包包果然是病毒
看见了,即使是送过去的keygen也是满身泥巴:
http://virscan.org/report/4cdcbd6c8d27682e7fd7872e6208efb4.html
还有著名的agent,定会搞得你心神不宁
所以嘛~慎用
=================================
基本上就是这样了。刨去keygen会被认为是病毒之外,其他的都好说。所以我在这里把思路在理一遍,方便大家杀鸡取卵:
解开第一层压缩包→解开那个sfx自解压壳→在gTemp.dat后面加zip后缀→解开这个包,取卵~完成
不过,经过这么一番折腾 我也不敢用这个keygen了。干脆放弃TLB吧。
有需求的同志可以考虑用取来的卵,但是被杀出各种各样的毒,估计很多人都不敢用了吧。
P.S.破解软件使用有风险,请大家不要冒生命危险,以防病毒跨省追捕。
Last modified by x-magic on2010/01/25 01:50
