来自 资讯 2022-06-03 21:40 的文章

cc防御_香港高防服务器就选科森网络_零元试用

cc防御_香港高防服务器就选科森网络_零元试用

用假S.M.A.R.T."修复你的硬盘"。修复工具

想象一个程序扫描你的电脑,ddos云防御云,检测一些错误,并提供修复它们。有很多合法的程序可以做到这一点(例如,防病毒程序),但也有很多假的程序,它们没有任何好处——它们只是假装扫描你的计算机,假装修复一些错误,但实际上没有错误,也没有任何东西被修复。你没有安装这样的程序,你甚至不知道它是如何安装在你的计算机上的。它就在那里,想骗你买许可证。

你有没有想过当你"购买"激活密钥时会发生什么?这个程序真的会为你做些什么吗?它会消失吗?或者,也许,它会一直困扰你。让我们看一个叫做"s.M.a.R.T"的节目。如果我们执行"S.M.A.R.T",ddos攻击防御便宜,则修复"

图1

"。"修复",它从原始位置消失,并以随机生成的名称将自身复制到"文档和设置"中,例如"@t)f9K70Sh&Z^.exe"(见图2)-这是可疑行为的第一个迹象。

图2

第二个可疑迹象是您无法正常退出应用程序。如果按右上角的"X",它只会最小化。如果您右键单击"S.M.A.R.T"。修复托盘中的"图标,没有退出选项(见图3)。

图3

当主窗口出现时,程序立即开始扫描硬盘(见图2)。一段时间后,扫描完成并显示诊断报告。然后,一些用户可能会害怕丢失数据,因此他们单击"修复7个问题",出现图4中的屏幕。

图4

非常适合恶意软件创建者,用户经常单击"立即购买许可证",给出他/她的信用卡号,获取激活密钥,单击"我已经有激活码"。点击此处激活"并输入激活号码。

无论如何,那些喜欢逆向工程的人已经知道还有另一种(更便宜的:-)方法。我们跳过"立即购买许可证"步骤,直接转到"我已经有激活码"。输入任意电子邮件和激活号码(在我们的例子中,电子邮件:aaa,激活号码:123456),按"激活",cc防御设置多少一秒,毫不奇怪,红色消息显示"代码无效"。请联系支持服务"(图5)。

图5

我们打开我们最喜欢的调试器(用于测试和调试其他程序的工具),将其附加到命名怪异的程序"@t)f9K70Sh&Z^.exe",将断点设置为USER32.GetWindowsTextA/W(操作系统功能,可以读取文本字段的内容),然后单击"激活"。调试器停止一次(读取电子邮件文本字段),然后再次停止读取激活密钥字段,然后显示一条消息,说明激活代码无效。在第一次调试器停止后,我们可能会看到与图6相同的屏幕。

图6

然后我们逐步执行程序,直到找到如图7所示的内容。有一个对"strstr"函数的调用,根据文档,"返回一个指向字符串中第一个搜索字符串的指针"。在我们的例子中,它测试字符串"08869246386344953972969146034087"是否包含在字符串"123456"(我们在激活密钥字段中输入的字符串)中。

图7

因此,尝试猜测在激活密钥字段中插入"08869246386344953972969146034087"时会发生什么(图8)。是的,我们现在已注册。

图8

注册成功后,程序还会打开带有以下文本的记事本:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~您的激活代码:08869246386344953972969146034087

您始终可以通过以下链接下载您的激活程序: (例如,如果您需要重新安装您的操作系统)。

您也可以使用它安装在任何其他计算机上。

如有任何问题,请联系我们的客户支持部门或拨打+1-888-717-7595(美国/加拿大免费电话),+44-186-552-1441(国际电话的英国固定电话号码)。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~。根据各种IP定位工具,该服务器位于阿拉伯联合酋长国,防御ddos群集,但属于ISP Petersburg Internet Network,俄罗斯圣彼得堡。但是,在这个IP地址上承载的不是只有一个地址。还有几个-download-backup-license.com、license-backup-download.com、licensepos.com、licenseres.com、licensetoc.com、ns1.yourdergete.com。所有域名均由注册商BIZCN.COM于2012年4月25日或2012年4月02日注册,该注册商为苍云盾立欺诈性域名注册商。License-backup-download.com在注册人联系人中还包含一个有趣的信息—"Privacy Protect.cn",ddos防御算法,这是一个已知的与假防病毒程序相关的域。

无论如何,我们在研究过程中遇到的不仅仅是这些URL。应用程序尝试连接到多个URL,这些URL在没有特殊监视工具的情况下对用户隐藏。下表显示了URL、注册日期、域名注册人姓名、,最后一列显示域指向的实际服务器位于哪个国家。

meijeroneca.com 2012年4月10日BIZCN荷兰

whatisadebima.com 2012年4月16日BIZCN瑞典

pliesamdalu.com 2012年4月26日BIZCN摩尔多瓦

psardcreator.com 2012年3月22日BIZCN罗马尼亚nardelfire.com 2012年4月17日BIZCN Switzerland