|
|
http://www.58daxue.cn/showtopic-48844.aspx
关于hddreg 的解密过程
关于hddreg 141 的进一步解密过程
首先要了解 hddreg141的读密码过程:
1。读取钥匙盘里面的特殊磁道信息
2。调用系统 comspec 也就是 command.com 的一些信息(或许只是监测该文件是否存在)
3。读取 dsck.rt 文件中相关的信息
4。生成一个叫做hr.exe的文件并运行之。这个 hr.exe 就是脱了壳的 hddreg 1.41
但是 这个hr.exe 被执行以后就自动被删除了,那末如何得到这个hr.exe 文件呢?
我们可以在执行 hddreg 之前将系统的comspec 设置掉或者将其指向的command.com 删除或者更名
然后导致hddreg 执行中断,我们就得到了一个hr.exe .呵呵。
其实hr.exe 在运行的时候删除自己,可是如果将hr.exe 更名为hddreg.exe 不就可以防止其删除自己了吗?因为它找不到自己啊。实践证明已经成功了。
脱了壳的 hddreg 1.61 HDDREG.rar (66.38 KB) 大家帮忙在各种dos中测试下。不需要钥匙盘的 自有运行版。 |
|
IP卡
狗仔卡
发表于 2009-3-13 13:51:39
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
