昨天查找防火墙找到这个,后来发现此破解软件可能存在后门,于是在网上查找到了这文章。
文章作者:血之吻
随着计算机的发展,我们的日常生活已经离不开计算机了~~软件,是保证计算机运行和工作的前提条件...但现在的一些软件却是天价~~对于我们而言,尤其是学生,根本就支付不起这些费用,随着计算机的发展,我们的破解高手也像雨后春笋一样....眨眼间就搜不到不能破解的软...从此那天价的正版就慢慢被抛弃了
...但是否每一个破解软件都是很好的呢??.....让我们看看一个破解软件的背后是怎样的:就以安全软件冰盾来说:
先从网上下载一个冰盾8.2破解版并展开
我么可以看到一个叫bdfw.zip的原始文件包和一个crack文件夹...
Crack目录下是三个文件,两个是冰盾被破解过的主程序,但请注意多了一个叫johnroot.dll的文件,该dll文件非常大接近500K,看来这个dll不简单,应该可以做很多事。用PEiD v0.94初步查看johnroot.dll显示是用” ASPack 2.12 -> Alexey Solodovnikov ”加的壳,很明显破解制作者不想让大家看到他到底在里面做了什么
然而事实是就用这么老的一个ASPack加壳的么?非也,偶用深度探测插件可以将其真正的壳探测出来,真实壳为“Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]”,基本上是ASProtect最新的壳了,这更证实了破解者有强烈的不想让人脱壳查看内幕的想法
可见制作此破解程序者隐藏之深,不想让其他人脱壳而暴露出其隐藏在DLL中的真实代码,故而伪造了壳。
接下来安装了破解版
Bdfw.exe运行后,用Process Explorer观察到johnroot.dll被加载到其内存空间:
然后偶观察到在刚运行数分钟后的不确定时间段内bdfw.exe会向外网的某个IP发起反弹连接申请然后又会迅速断开,就好比灰鸽子一样反弹取得指令后迅速断开连接并执行指令以隐蔽其行为,但通过技术手段还是被捕捉到了请见下图:(事实上非破解版的bdfw.exe从来没有连接外网的情况)
经过深入跟踪发现为johnroot.dll所发起,而这dll正是破解者所加入的,事实上破解一个软件完全不必要加入这么一个大的dll文件,除非要完成非常非常复杂的功能,比如:灰鸽子的dll也是几百K,远程控制功能非常强大。
经过这次的尝试,我总结了一点经验:
1, 破解版软件是要慎用的,尤其是直接对exe进行了修改更别说还添加了dll的破解版软件了,但是一般来说仅仅需要输入序列号就可以注册的是相对安全的。
2,汉化类软件也要慎用的,因为里面大多加了广告等流氓插件,这些插件有些还会强制安装。
3,在国内下载软件尽可能到天平样、天空、非凡等大站,在小站不小心会下载到类似xxxcrack.exe或adxxxx.exe类的文件,这些文件100%是流氓插件,最多曾遇到过一个几十K的程序绑了20多个流氓插件,一旦中招,哭去吧你,因为大多杀毒杀马软件弄不干净,P4机器变成了P3,开不了机,开机没桌面等等......而且隐私和重要文件随时可能被泄漏。
此贴参考了一些资料,经过试用和修改...总结个大家的.....希望那些还对破解软件非常喜欢的同志们好好考虑清楚....