什么是windows defender?windows defender程序的分析破解
Defender与底层操作系统紧密集成在一起,且它是专为在基于NT的Windows系统中运行设计的。它可以在当前所有基于NT的系统中运行,包括Windows XP、Windows Server 2003、Windows 2000和Windows NT 4.0,但不能在非基于NT的操作系统中运行,如Windows 98和Windows Me。
我们先运行一下Defender.EXE程序,看看会发生什么事。需要指出的是,Defender是一个控制台模式的应用程序,所以通常它要在命令提示符(Command Prompt)窗口中运行的。我之所将Defender设计成为一个控制台模式的程序,是因为这大大简化了Defender程序的编写。当然,我们也可以在普通的GUI应用程序中创建一个同样强大的保护,但写代码要花更长的时间。有一点需要指出的是,控制台模式的应用程序并不是DOS程序!基于NT的系统可以用NTVDM虚拟机运行DOS程序,但对Defender程序不需要NTVDM虚拟机。像Defender这样的控制台程序是一般的32位Windows程序,它只是避开使用Windows GUI API函数(实际上它可以调用其他任何一个Win32 API函数),只使用简单的文本窗口与用户进行通信。
你可以在命令提示符窗口中运行Defender.EXE,并会收到Defender的使用方法的消息。图11.10显示了Defender的默认使用方法的消息。
图11.10不带命令行参数运行Defender.EXE
Defender程序可以接收一个用户名和一个16位的十六进制序列号。现在,我们给它输入一些编造的值作为参数,看看会发生什么。图11.11显示了当我们输入用户名为John Doe、序列号为1234567890ABCDEF后Defender的响应。
毫无悬念——Defender只是简单地报告我们的序列号是错误的。在做破解的时候,试试这个步骤是有必要的,至少你能看到程序在接收到错误的注册信息会报告什么样的错误消息。你应该能够在可执行文件的某个地方找到这个错误消息。
我们将Defender.EXE加载到OllyDbg中看看。你要做的第一件事就是查看“Executable Modules”窗口以确定有哪些DLL静态链接到了Defender。图11.12显示了Defender的“Executable Modules”窗口。
图11.11将用户名John Doe和序列号12345678ABCDEF作为参数运行Defender.EXE
图11.12 (从OllyDbg中看)静态链接到Defender的可执行模块
图11.13 (从OllyDbg中看)Defender.EXE的导入与导出函数
这个列表非常短——只有NTDLL.DLL和KERNEL32.DLL两项。记得我们前边讲的图形用户界面的crackme程序KeygenMe-3吧,它的可执行模块列表要比这个长很多,不过也难怪,Defender只是一个控制台模式的应用程序。我们接着看看“Names”窗口,确定一下Defender调用了哪些API函数。图11.13显示了Defender.EXE的“Names”窗口。
确实非常奇怪,看上去Defender.EXE只是从KERNEL32.DLL中调用了IsDebuggerPresent API函数。我们不需要太多推断就可以得出这个不太可能是真的结论。除了调用IsDebuggerPresent外,程序一定得通过别的方式与操作系统进行通信。比如说,如果没有调用操作系统的函数,那么程序又是怎么在控制台窗口上输出信息的呢?这显然是不可能的。我们再用DUMPBIN处理一下这个程序,看看Defender的导入表中有些什么。列表11.4显示了用/IMPORTS选项的DUMPBIN的输出。
列表11.4用/IMPORTS选项对Defender.EXE运行DUMPBIN的输出
列表11.4
这儿也没有什么新的发现。DUMPBIN的输出也表明Defender.EXE只调用了IsDebuggerPresent。不过,这里还有个有趣的地方,那就是Summary段,DUMPBIN在这里列出该模块的各个段。从这里我们发现Defender没有.text段(通常PE可执行文件中的代码就放在.text段中)。相反,它有两个奇怪的段:.h3mf85n和.h477w81。这并不是说程序中没有任何代码,这只是说明代码很可能就躲在这两个名字奇怪的段中。
在这个时候,聪明的做法是用/HEADERS选项再运行一次DUMPBIN,来看看Defender是怎样创建的(见列表11.5)。
列表11.5用/HEADERS选项对Defender.EXE运行DUMPBIN的输出
列表11.5
在/HEADERS选项条件下DUMPBIN为我们提供有关Defender.EXE程序的更多细节信息。例如,容易看出#1段(即.h3mf85n)就是代码段。它被指定为Code,而且程序的入口点就在这里(入口点在404232,.h3mf85n从地址401000开始,到4042FF结束,所以我们知道入口点就在这个段内)。另一个名字奇怪的段.h477w81看上去像是一个小型的数据段,可能包含一些变量。还需要提一下的是子系统标志(subsystem flag)等于3,说明这是一个Windows控制台用户界面(console user interface,CUI)程序,Windows在运行这个程序的时候会自动为它创建一个控制台窗口。
所有这些奇怪的段名都说明了程序很可能是经过了某种加壳处理(packed)。加壳程序能够创建包含加壳后的代码(packed code)或用于脱壳的代码(unpacking code)的特殊段。有个不错的方法——通过在PEiD中运行程序来看它是否被一个未知的加壳程序做过加壳处理。PEiD程序可以识别常见的可执行文件的特征码(signatures),并显示这个可执行文件是否用流行的可执行文件加壳程序或者拷贝保护产品做过加壳处理。你可以从下面这个网址下载PEiD:http://peid.has.it/。图11.14显示了PEiD处理Defender.EXE时的输出。
不幸的是,PEiD报告“Nothing found”,所以可以有把握地说Defender没有做过加壳处理,或者说是被一个未知的加壳程序做的加壳处理。我们接下来对这个程序进行反汇编,找找“Sorry … Bad key, try again.”这条消息是从哪里来的。
图11.14用PEiD程序处理Defender.EXE时报告“Nothing found”
微博账号被盗怎么找回?怎么保护自己的微博账号小心被盗?
微博账号受相关法规保护QQ账号和微博账号都属于个人财产,虽然网络账号被盗取暂时还没有明确的相关法律规定。但国家已经发布了互联网管理的基础性法规《互联网信息服务管理办法》进行规范,也已经设立相关的网络
详情2018-01-15 16:04:21责编:llp 来源:驱动管家怎么使用、创建和维护oracle密码文件? oracle创建用户的方法
关键词:Oracle数据库密码文件
详情2018-01-12 09:53:20责编:llp 来源:驱动管家网马是什么?怎么保护网马的代码?
网页木马实际上是一个HTML网页,它利用IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马。网马就是在网页中植入木马,你打开网页就运行了木马程序,使你在不知不觉中中毒。网马
详情2018-01-16 12:21:40责编:llp 来源:驱动管家人们需要知道有关后门程序的三大技术知识
曾经饱受木马、后门(以下统称后门)侵害的人们都不会忘记机器被破坏后的惨象,于是人们展开了积极的防御工作,从补丁到防火墙,恨不得连网线都加个验证器,在多种多样的防御手法夹攻下,一大批后门倒下了,菜鸟们
详情2018-01-06 18:19:03责编:llp 来源:驱动管家ie浏览器被劫持怎么办?ie浏览器被劫持要先清除病毒
本文旨在解决头痛的IE劫持问题。关于IE劫持,产生的原因很多,简单的可能就是注册表被改,复杂的就是有病毒、木马感染或者有驱动保护,但不管如何,最终还是要进行相关注册表复位。本文所提到的所有操作,有一个
详情2018-01-18 10:49:20责编:llp 来源:驱动管家勒索软件补丁:安装android7.0 nougat
有一天打开电脑,发现电脑已经被锁住,窗口弹出说明:如果你不给钱,就把你的电脑清空,这就是遇到了勒索软件。近年来,这种勒索已经频频出现在安卓手机上,手机里的重要资料可能比电脑里还多,这时候怎么办,真
详情2018-01-04 09:11:33责编:llp 来源:驱动管家电脑文件夹加密怎么做?硬件文件夹加密好还是软件文件夹加密好?
现在,在公司上班族中,由于每天都会形成很多工作文件,一些文件还涉及到单位的无形资产和商业机密,如何保护这些文件的安全就成为当前企业网络管理的重要方面。而对于电脑文件加密,则通常有两种方法:软件加密
详情2018-01-07 08:28:05责编:llp 来源:驱动管家加密工具gpg是怎么下载安装使用的?
先说说GPG的获得吧,GPG是开放源代码的软件,是完全免费的,大家可
详情2018-01-04 09:36:39责编:llp 来源:驱动管家怎么使用野草weedcmsV5.2.1删除文件漏洞?
member php if($action==
详情2018-01-09 17:58:26责编:llp 来源:驱动管家如何制作图片asp木马?asp木马高手是怎么炼成的?
1 名称:如何制作图片ASP木马建一个asp文件,内容为找一个正常图片ating jpg,插入一句话木马(比如冰狐的),用ultraedit进行hex编译,插入图片里,为了运行成功,还要搜索,将其变为00,(不要替换自己asp的
详情2018-01-08 08:53:20责编:llp 来源:驱动管家
- 电脑杀毒的神奇方法:记事本杀毒
- 不想在百度贴吧被人@该怎么办?百度贴吧@设置在哪儿?
- 天猫积分怎么获取?怎么在手机上领取天猫积分?
- 苹果手机怎么进行刷机?苹果刷机有什么坏处
- 电脑电源功率不足会带来哪一些不可避免的问题
- 在linux下怎么给openssl添加自定义加密算法
- 太吓人了!iPhone6弯曲后会起火?
- 苹果笔记本可以玩qq游戏吗?苹果笔记本qq游戏大厅怎么下载?
- 谈谈csrf的攻击原理 什么是csrf?
- ae模板套用方法是什么?怎么短时间做出好的片头片尾?
- 关于修理打印机电源变压器的一些经验介绍
- win8系统的磁盘修复后无法打开是怎么回事
- 我的电脑不小心中了冰河木马有什么方法解决
- 魅族nfc功能是什么?魅族nfc功能怎么查看?
- iphone5 ios8越狱后会发热?如果出现发热现象怎么办?
- 中国工商银行账户怎么登录?中国工商银行账户登录方法
- 比特币怎么挖?比特币的获取方式是什么?
- 黑客入侵网站的途径及防御方法
- 手机追踪:通过消耗电量速度判断位置
- 无线网络为什么会受限制?无线网络受限制或无连接怎么办?