0
点赞
收藏
分享

微信扫一扫

去除程序重启自效验的三种方式(下)

0x03 储存在配置文件中的数据

1.既然数据储存在配置文件中,那么查找一下关于配置文件的有关API操作,于是发现有一个读取配置文件的操作getprivateprofilestringa

去除程序重启自效验的三种方式(下)_数据


2.在这个函数上下断点,运行OD,第一个断下的API不是我们想要的,继续运行

去除程序重启自效验的三种方式(下)_配置文件_02


3.第二个也不是,继续运行

去除程序重启自效验的三种方式(下)_读取配置文件_03


4.第三个成功的段下了,注意右下角显示了注册表文件

去除程序重启自效验的三种方式(下)_配置文件_04


5.跳出这个函数,可以看到我们这个函数在读取了配置文件的信息后使用strcmp函数与程序的自效验数据进行比较,这个原理和储存在文件当中的更改操作是一样的,这里不多阐述

去除程序重启自效验的三种方式(下)_配置文件_05

0x04 储存在注册表中的数据

1.使用API监控工具,发现在最后读取了可疑的注册表

去除程序重启自效验的三种方式(下)_配置文件_06


2.在所有可能的注册表读取信息的API上下断点,找到了这个读取注册表的函数

去除程序重启自效验的三种方式(下)_数据_07


3.一下修改和文件储存方式相同



举报

相关推荐

0 条评论