概述
版本:8.0
使用PEid扫描Client.exe:ASPack 2.12 -> Alexey Solodovnikov
ASPack 2.12壳,可用AspackDie脱之
使用Delphi编写
程序运行后生成2个进程:Client.exe、CliGold.exe,CliGold.exe类似于守护进程
加密
客户端传输数据前对密码进行编码
str1 = "12345678"
print(str1)
str2 = ''
len = len(str1)
for i in range(len):
temp = chr(ord(str1[i]) + len -i)
str2 = temp + str2
print("encode:",str2)
str3 = ''
for i in range(len):
temp = chr(ord(str1[len-i-1]) - len + i)
str3 = str3 + temp
print("decode:",str3)
12345678编码后为99999999
12345678解码后为00000000
管理员
管理员默认账号为SYSADMIN,默认密码为12345678,更改后的密码经编码后存放在客户端的注册表里
HKEY_LOCAL_MACHINE\SOFTWARE\GoldSoft\Client
有一个账户的情况
登录账户后,控制面板->用户->创建一个新用户,退出账户后切换用户
此时Client.exe仍在另一个用户下运行
或者
直接关闭CliGold.exe,程序检测到异常,电脑重启
可以使用火绒剑挂起CliGold.exe进程,退出账户后使用taskkill关闭Client.exe进程
火绒剑在Client.exe里搜索字符串,可以查看到登录的账号
进入Windows系统的安全模式
按F8进入网络安全模式
此时没有运行Client.exe、CliGold.exe,可通过注册表查看sysadmin的密码
通过U盘启动盘启动系统
如果BISO没有设置密码的话,可运行U盘里的系统