关于Windows优化大师的恶意代码
娃娃[CCG]
由于Windows优化大师作者的一句话:“盗版的Windows优化大师注册成功只是
表面现象,60-120天后即会发现使用后系统出现故障。”使得各大论坛闹得沸沸
扬扬 近日也有无数个用户向我确认这个事情 我不是作者我也无法确切的回复给
大家 本来已经懒得再碰这个软件了 但是还是抱着看看作者能使出什么手段的想
法重新反汇编了一遍这个软件的主程序 现在将我的一点看法告诉大家:
软件使用Delphi编写 发布之前经过加壳 经测试是ASPack的壳 脱壳后使用
W32Dasm反汇编了将近5分钟才完成(Delphi的程序就是垃圾多) 经检测并没
有发现什么特殊的提示信息 于是一点点的检查注册按钮按下前后程序的处理结果
发现:
1:当用户在按下“注册认证”按钮后 优化大师使用GetWindowsText函数获得所有
当前执行的软件标题栏信息 如果发现当前运行的软件标题栏含有 "注册机;wom;
cr-womdowsyhds" 其中任何一个特征串后就会执行一个不明的跳转
2:当软件运行的时候会检测Windows优化大师安装目录下的文件 (默认是Wom
目录下) 如果发现含有一些带有敏感字符的文件名 比如“白菜乐园”等也会执行
不明跳转
解决方法: 在我编写的新版本注册机里面已经针对上述的第一点问题作出了调整
即将注册机的标题栏清空 所以大家完全可以不用担心软件的第一项检测 ; 并且
大家只要不把注册机等一些破解程序放入Windows优化大师的根目录就不用担心
程序的第二项检测。
另外Fish说“他是自动检查你的硬盘里有没有他的注册机” 遗憾的是我并没有看到
搜索硬盘内容的代码 而且我觉得这也是不可能的 因为搜索硬盘需要很长的时间
而我在运行Windows优化大师的时候并没有发现明显的延迟现象出现 如果Fish有
发现这些代码 请在下面跟贴说明 我会作出相关的补丁解决这个问题。 软件作者
所说“系统出现故障” 可能是由于我才疏学浅再加上代码垃圾太多 太长的原因我
也并没有找到任何的可疑代码可以使系统出现故障
总结几点:
1: 大家在使用Windows优化大师的注册机的时候最好遵循以下步骤
运行Windows优化大师 — 填写用户名,得到申请码 — 记住申请码然后退出
Windows优化大师 — 运行注册机,填写你刚才输入的用户名和申请码,点击注册
按钮 — 关闭注册机,再运行优化大师 这样就可以完成注册 并且最大限度的跨过
了程序的第一项注册机检测。
2: 在网上下载注册机后不要解压保存 直接在压缩包中执行 完成注册过程 等注册
成功后再删除留在TEMP目录下的注册机执行程序 不要将任何文件放入Windows优
化大师的安装目录 这样就可以最大限度的跨过程序的第二项注册机检测以及Fish所
说的搜索硬盘检测的方法。
3: 使用天网防火墙(或其他) 限制所有不明程序的网络连接尝试! 可以防止优
化大师上网查对正版用户的可能性
4: 尽量不要运行Windows优化大师的内存整理和桌面图标透明的功能(或者使
用4.6版本的内存整理程序覆盖新版本) 因为这是唯一一个在启动时候就运行而且
每次开机都运行的程序 很可疑 有时间我会再详细分析一下它的内存整理程序的。
————————————————————————————————————
这是我在今天晚上反汇编得到的结果和相关的总结 大家可以根据自己的判断选择要
处理的问题 我写这篇文章的目的也是仅供大家参考 既然作者说出这样的话来了 我
是不敢保证是否真的会有相关的情况发生的。
另外 因为有一个将民炸弹的先例 我觉得像Windows优化大师这样的知名软件不会再
使用特别卑鄙的破坏代码来达到报复的目的 比如说“格式化硬盘 死锁分区 传染病毒
破坏BIOS”等 但是删除两个不起眼的系统文件导致系统无法启动这样的事情就不能
保证了 反正出现问题的时候你也无法确定就是这个软件做的。
最后想说的就是 Windows优化大师是一个好软件 作者也是一个值得佩服的人 如果
大家对这个软件非常喜欢 并且还怕真的会出现什么问题的话 我奉劝各位还是可以尝
试花钱注册一下的 毕竟国内现在值得像优化大师一样花钱注册的软件并不多!!!
娃娃(NYDoll)
属于中国破解组织CCG(CHiNA CrACKiNG GrOUp) |