• 标 题:一篇( I p a r m o r 新版)X文... (2千字)
  • 作 者:exdata
  • 时 间:2002-1-1 15:08:22
  • 链 接:http://bbs.pediy.com

//            清除木马软件"Iparmor 5.32.05"
//            启动后第一次来到这里
//            读出注册表的name and pass
//        这好像是其中一处比较,管它呢,有正确的注册码就行了。

:004E9FCF BA4CA94E00              mov edx, 004EA94C
:004E9FD4 33C9                    xor ecx, ecx
:004E9FD6 8A08                    mov cl, byte ptr [eax]
:004E9FD8 41                      inc ecx
:004E9FD9 E80A8DF1FF              call 00402CE8
:004E9FDE 0F841C070000            je 004EA700    ;不是黑名单的能来到这
:004E9FE4 8D95F0FEFFFF            lea edx, dword ptr [ebp+FFFFFEF0]
:004E9FEA 8B8724020000            mov eax, dword ptr [edi+00000224]
:004E9FF0 2D6E020000              sub eax, 0000026E
:004E9FF5 E8F6F2F1FF              call 004092F0
:004E9FFA 8B95F0FEFFFF            mov edx, dword ptr [ebp+FFFFFEF0];
//                    [edx]:由最后一次写入注册表的name生成的真正注册码
:004EA000 8B45FC                  mov eax, dword ptr [ebp-04]    
//                    [eax]:你输入的错误码pass
:004EA003 E8CCA1F1FF              call 004041D4        ;比较
:004EA008 0F8593000000            jne 004EA0A1        ;关键跳转,不等跳!!!
:004EA00E C60538314F0001          mov byte ptr [004F3138], 01
:004EA015 33D2                    xor edx, edx
:004EA017 8B83E0020000            mov eax, dword ptr [ebx+000002E0]
:004EA01D E88E81F4FF              call 004321B0

* Possible StringData Ref from Code Obj ->"The iparmor has been registered "
                                        ->"successfully."
                                  |
:004EA022 BA5CA94E00              mov edx, 004EA95C
:004EA027 8B83E8020000            mov eax, dword ptr [ebx+000002E8]
:004EA02D E89682F4FF              call 004322C8
:004EA032 803D39314F0000          cmp byte ptr [004F3139], 00
:004EA039 7410                    je 004EA04B

* Possible StringData Ref from Code Obj ->"软件已经被
成功注册."
                                  |
:004EA03B BA94A94E00              mov edx, 004EA994
。。。。。。。。。。。。。。。。。。。
。。。


//小心,它清除木马好像是把文件删除!!!似乎太过分了!!!
//所以先不要把清除木马选项勾上!!!!!

//误报木马!!masm32文件中一些例子的.EXE无辜被杀!!!呜呜~~~~~~~~

//里头有几个黑名单,但总的来说防范意识还是太弱了。