逆向恶搞锁机程序.docVIP

逆向“恶搞锁机”程序 1 背景 汇编语言学习了一段时间了，一直感觉没有正经的做点东西，可是一般的应用程序用汇编做起来又觉得没有太大的意思，正好一个网上的朋友发来个小程序，运行后会创建一个新账户，并设置了密码，并且将当前的windows账号注销，登录新创建的账户，从而达到让用户登录不了的目的，代码不大，索性反汇编一下，因为是新手练习，并没有学习过如何进行真正逆向，所以大家不要嘲笑思路不新颖，工具使用不熟练，权当入门的练手记录。 2 使用工具 运行环境：VMware Workstation 10.0.1 虚拟机上搭载的操作系统：Windows XP Service Pack 3 PE工具：PEiD 0.95 反汇编工具：IDAPro6.6 二进制编辑器：UltraEdit 21.30 3 目的 反汇编出恶意程序添加账号对应的密码，能够顺利登录进入到桌面。 4 逆向过程 4.1 观察运行现象 ①首先运行虚拟机，进入到虚拟机操作系统桌面中，将恶意程序拷贝直桌面上。 程序图标 ②将虚拟机进行拍摄快照，这一步很重要，因为要比对运行恶意程序之前和之后的现象，可能需要反复比对，或是在调试时不小心运行了，有补救的机会，如果使用物理机进行反复的系统恢复，可能会麻烦的多。 ③运行恶意程序，观察现象。 注：不是所有的恶意程序放在虚拟机中运行就万无一失。 发现原来的账户已经注销，登录账户变