cc防御_香港高防服务器就选科森网络_零元试用

用假S.M.A.R.T."修复你的硬盘"。修复工具

想象一个程序扫描你的电脑，检测一些错误，并提供修复它们。有很多合法的程序可以做到这一点（例如，防病毒程序），但也有很多假的程序，它们没有任何好处——它们只是假装扫描你的计算机，假装修复一些错误，但实际上没有错误，也没有任何东西被修复。你没有安装这样的程序，你甚至不知道它是如何安装在你的计算机上的。它就在那里，想骗你买许可证。

你有没有想过当你"购买"激活密钥时会发生什么？这个程序真的会为你做些什么吗？它会消失吗？或者，也许，它会一直困扰你。让我们看一个叫做"s.M.a.R.T"的节目。如果我们执行"S.M.A.R.T"，则修复"

图1

"。"修复"，它从原始位置消失，并以随机生成的名称将自身复制到"文档和设置"中，国外cc防御，例如"@t）f9K70Sh&Z^.exe"（见图2）-这是可疑行为的第一个迹象。

图2

第二个可疑迹象是您无法正常退出应用程序。如果按右上角的"X"，它只会最小化。如果您右键单击"S.M.A.R.T"。修复托盘中的"图标，没有退出选项（见图3）。

图3

当主窗口出现时，程序立即开始扫描硬盘（见图2）。一段时间后，扫描完成并显示诊断报告。然后，一些用户可能会害怕丢失数据，高防cdn代理，因此他们单击"修复7个问题"，出现图4中的屏幕。

图4

非常适合恶意软件创建者，用户经常单击"立即购买许可证"，给出他/她的信用卡号，获取激活密钥，单击"我已经有激活码"。点击此处激活"并输入激活号码。

无论如何，那些喜欢逆向工程的人已经知道还有另一种（更便宜的：-）方法。我们跳过"立即购买许可证"步骤，直接转到"我已经有激活码"。输入任意电子邮件和激活号码（在我们的例子中，电子邮件：aaa，激活号码：123456），按"激活"，毫不奇怪，红色消息显示"代码无效"。请联系支持服务"（图5）。

图5

我们打开我们最喜欢的调试器（用于测试和调试其他程序的工具），将其附加到命名怪异的程序"@t）f9K70Sh&Z^.exe"，将断点设置为USER32.GetWindowsTextA/W（操作系统功能，可以读取文本字段的内容），然后单击"激活"。调试器停止一次（读取电子邮件文本字段），然后再次停止读取激活密钥字段，然后显示一条消息，说明激活代码无效。在第一次调试器停止后，我们可能会看到与图6相同的屏幕。

图6

然后我们逐步执行程序，直到找到如图7所示的内容。有一个对"strstr"函数的调用，根据文档，"返回一个指向字符串中第一个搜索字符串的指针"。在我们的例子中，它测试字符串"08869246386344953972969146034087"是否包含在字符串"123456"（我们在激活密钥字段中输入的字符串）中。

图7

因此，尝试猜测在激活密钥字段中插入"08869246386344953972969146034087"时会发生什么（图8）。是的，我们现在已注册。

图8

注册成功后，程序还会打开带有以下文本的记事本：

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~您的激活代码：08869246386344953972969146034087

您始终可以通过以下链接下载您的激活程序： （例如，如果您需要重新安装您的操作系统）。

您也可以使用它安装在任何其他计算机上。

如有任何问题，请联系我们的客户支持部门或拨打+1-888-717-7595（美国/加拿大免费电话），+44-186-552-1441（国际电话的英国固定电话号码）。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~。根据各种IP定位工具，cc防御cdn，该服务器位于阿拉伯联合酋长国，但属于ISP Petersburg Internet Network，俄罗斯圣彼得堡。但是，在这个IP地址上承载的不是只有一个地址。还有几个-download-backup-license.com、license-backup-download.com、licensepos.com、licenseres.com、licensetoc.com、ns1.yourdergete.com。所有域名均由注册商BIZCN.COM于2012年4月25日或2012年4月02日注册，该注册商为苍云盾立欺诈性域名注册商。License-backup-download.com在注册人联系人中还包含一个有趣的信息—"Privacy Protect.cn"，这是一个已知的与假防病毒程序相关的域。

无论如何，我们在研究过程中遇到的不仅仅是这些URL。应用程序尝试连接到多个URL，这些URL在没有特殊监视工具的情况下对用户隐藏。下表显示了URL、注册日期、域名注册人姓名、，最后一列显示域指向的实际服务器位于哪个国家。

meijeroneca.com 2012年4月10日BIZCN荷兰

whatisadebima.com 2012年4月16日BIZCN瑞典

pliesamdalu.com 2012年4月26日BIZCN摩尔多瓦

psardcreator.com 2012年3月22日BIZCN罗马尼亚nardelfire.com 2012年4月17日BIZCN Switzerland