20CN网络安全小组论坛 - 原创软件 - 发布软件软件名：98ME系统守护神3.0B

论坛: 原创软件标题: 发布软件软件名：98ME系统守护神3.0B

作者: worlddragon [zhoudu]

论坛用户

软件名称：98ME系统守护神3.0b
软件版本：V3.0
软件大小：740 KB
软件语言：简体中文
软件类别：免费版
应用平台：Win95/98/Me
联系人：sosworlddragon@163.com
开发商：http://mama520.126.com/
下载地址：http://mama520.szpcco.com/ruanjian/98medemo.exe
下载地址：http://www.onlinedown.net/soft/18660.htm
下载地址：http://www.skycn.com/soft/12473.html
软件界面：http://mama520.szpcco.com/pic/demo.jpg
软件介绍：（请您切记初始密码为mama520）在2.0的基础上修改了一个大BUG.增加了安全关机，界面个性化等功能.功能一：如果您在第一次使用本软件后并且点击了开机自启动按钮，那么您的98或ME系统会在每次开机都自动启动本程序.这样就可以达到像WIN2000或WINXP系统那样通过密码验证才能进系统的功能.功能二：比如您在办公或者有急事要外出一下，但又怕同事或者家长动你的爱机时你只要把本软件打开即可.这样他们就无法看你在做什么了.另外本软件还有一个秘密功能，现在小弟不告诉你们，必须在你们发邮件给小弟后小弟才会告诉您，呵呵.有了98MEOS守护神后您不必再为因为隐私而装游戏性能不好的WIN2K，WINXP系统了。

地主发表时间: 04-01-30 20:44

回复: cyq82 [cyq82]

论坛用户

使用了一下.

原理应该是基于屏保类性质的系统保护软件吧?

屏蔽了系统热键主要是防止用户结束该软件进程及操作本软件外的其他任务.

很不错. 支持一下.!

B1层发表时间: 04-02-11 10:43

回复: cyq82 [cyq82]

论坛用户

>>脱壳<<
加壳类型: ASPack 2.11 使用TRW2000载入程序后,输入指令PNEWSEC. 自动执行到该程序的入口点地址: 0040159C ,SUSPEND挂起后,我们再用PEDITOR编辑软件DUMP出内存映像文件.修复之!

>>解密<<
调出TRW2000后,现在运行"守护神3.0",输入任意口令后CTRL+N调出TRW调试窗口.
设置断点BPX HMEMCPY ,中断后,暂时禁用断点,免得系统某些程序随时触发断点: BD *
按56次时出现口令输入错误的提示(注意状态栏的提示)

F10 & F8交替使用,走....

0167:004825EE 6A50 PUSH BYTE +50
0167:004825F0 685C544000 PUSH DWORD 0040545C
0167:004825F5 56 PUSH ESI
0167:004825F6 50 PUSH EAX
0167:004825F7 FF1534104000 CALL `MSVBVM60!__vbaHresultCheckObj`
0167:004825FD 8B45E8 MOV EAX,[EBP-18] ; [EBP-18]内存中存放着输入的任意口令
0167:00482600 8B4DE4 MOV ECX,[EBP-1C] ;该[EBP-1C]内存中存放着正确的口令!
0167:00482603 50 PUSH EAX
0167:00482604 51 PUSH ECX ;正确的口令
0167:00482605 FF1574104000 CALL `MSVBVM60!__vbaStrCmp` ;比较口令正确与否.

另,大家可看到此处调用的函数为MSVBVM60!__vbaStrCmp
因此,我们还可以设置该函数作为断点使用: bpx __vbastrcmp 再次输入任意口令后再两次F5键即可中断在关键的比较处... (这种方法较之上面的跟踪要简单,大家可尝试着使用)

后记:
作者周犊为我们提供了精美的屏保型软件,即保护了我们主机安全又有漂亮的壁画欣赏,因此,除学习之余还请大家不要随便"玩"哦! (作者还将修改后的密码存放在mama520.txt文件中,或许作者是出于某些朋友会忘记密码的善意考虑吧)

B2层发表时间: 04-02-11 14:07

回复: cyq82 [cyq82]

论坛用户

引用:
另外本软件还有一个秘密功能

是指"超频设置" 功能吗|??

可我似乎没有发现"超频设置" 按钮中的功能效果哦...

B3层发表时间: 04-02-12 10:17

论坛: 原创软件