碧海潮声大学生网

标题: 海院上网客户端的相关程序 [打印本页]

作者: 闲着玩汇编 时间: 2005-12-4 16:01
标题: 海院上网客户端的相关程序
通过抓包发现,有个change.dll的文件保存在操作系统根目录的system32文件夹下.
估计这个就是在验证帐户密码和发送的主要程序了.
对change.dll反汇编后还发现
mfc42.dll(这个应该是系统自带的一个动态链接库,只是调用而已)
msvcrt.dll (同上)
kernel32.dll(同上)
advapi32.dll
wsock32.dll
wpcap.dll
对connect.exe进行反汇编,还发现一个shell32.exe,(看看也是调用系统的)

对change.dll进行静态反汇编,修改了几个跳转,呵呵,也是随便修改的,看着那段子程序属于"请不要使用代理"的范围呢.然后保存DLL,运行,出现"无回应",再运行了一下,DLL文件还原了.呵呵^&^估计有另外一个程序在监测change.dll是否被修改吧,难啊.今天下午就做了那么点事.

收获是,还知道了,这所谓的禁止使用代理是通过对常用代理软件进行关键字对照来进行判断的(似乎是废话,早就听说过了).在里面似乎只看到对CCPROXY和SYGATE这2款代理软件进行检测的字样.

呵呵,各位对汇编有兴趣的也可以去复制change.dll来反汇编下,试试去掉  禁止使用代理  的那段程序的功能^&^,今天到此为止啦,要想破解,还得慢慢把汇编学好馓,这样才看得懂 [s:2]

作者: 闲着玩汇编 时间: 2005-12-4 18:15
喔,对了,传一下那个DLL,呵呵,校外的朋友也可以下载来去反汇编一下,然后用ultraedit32修改下.^&^ 由于不能上传DLL,所以压缩成RAR了:)

作者: 笨笨啊 时间: 2005-12-4 18:36
这个，其实可以用exescope查看头信息的

还有，除了change.dll以外，别的都是系统文件，像mfc42.dll好像是c的runtime

欢迎光临碧海潮声大学生网 (http://www.zjoubbs.com/)