黄河flash播放器绿化与爆破分析
黄河flash播放器分析 By TY1921
一、安装程序为自解压文件,包含卸载程序与程序主目录:
结构分析:
C:.
default.hhf播放列表
hhflash.exe主程序
hhflash.ini配置文件,程序运行后会自动生成
play.binflash播放器,后缀名改为exe后可直接运行
tip.dat小贴士的提示信息,删除后会报错,但不影响程序使用,可精简
hhcatch.001IE插件文件
hhcatch.dllIE插件
hhflash.dllIEEXTEND
hhflash.chm帮助文件
huanghe.swfflash文件
geturl.htm
readme.txt
setup.log
复制该目录后运行卸载程序,复制的目录内程序运行正常,因安装时没有拷贝文件到系统目录,对注册表依赖也很小,绿化完成。
程序分析:
1,主程序包含几个常规窗体,主窗体无边框,采用图片作为背景[现在的软件皮肤一般用户xml配置,如QQ,天天静听],flash播放框疑似frame制作,play.bin则是flash播放程序,后缀名改为.exe后可双击直接运行。
2,配置文件可删除,主程序将自动生成,包含是否初始化每日提示的标志位;tip.dat是每日提示的信息文件,改写主程序后可以删除
3,几个DLL文件均为浏览器插件,无用,可以直接删除
二、除主程序外其余都被加壳,压缩壳运用ESP定律轻松脱掉,在此略过。
注册爆破:
三、 固定注册码
注册码的生成[启动验证部分]:
四、日积月累
日积月累是TIPS窗体,下面是常见的启动代码:
黄河播放器在启动的时候不外乎也是这个过程,尤其关键的一点是会对注册表进行操作,由此对程序进行修改。
修改位置:
总结:
1,最小化精简后,只包括主程序hhflash.exe和播放器play.bin这两个文件
2,该程序上期在校长视频总结的相当透彻,无论是程序全局变量,还是算法之类。这次的绿化出乎意料很简单,主要是由于自解压的缘故。