【去除控制】对学生机房管理助手6.8的分析与突破

                                                              本文仅以学习交流为目的，请勿用于非法用途

在6.0版本破掉机房助手不久，不少用户反馈这机房助手更新了，不能再正常的突破蓝屏和**密码。

现在来分析一下

6.8版本截图

国际惯例 查壳

die可以看出 作者吸取教训 做了点防护

由于.net程序的结构特性，不能使用普通壳（vmp之类的），作者给它加了个混淆，这令人很头疼。

当然脱掉这壳也不是不可能，但就算脱掉了，函数名啥的也都没了，分析起来也很困难，所以先不脱了。

既然不能脱壳，分析不了算法，自然密码**不了。。。。本人观察依旧是dex只不过换了**啥的。。。

（这是给作者看的）软件逻辑有很大的问题，连上网后会自动更新，密码算法更换后老的密码不再能解锁新版本软件。。

                                                                                 。。手动滑稽。。

下面是正题

去除控制6.0使用匹配进程名称的方法，消灭强制蓝屏。

就是选中的四个进程。因为去除控制杀进程能力极强，这几个软件来不及互锁就被消灭了。蓝屏成功over。

可能是作者发现了这点 新的6.8版本不再能够被这方法突破（其实我也发现了，一直没时间处理）

寒假因特殊原因延长，我总算有空玩玩我自己的的东西了，经过2h的观察分析，成功解决6.8版本

6.8版本采用新的逻辑，不再使用固定的进程名，对我匹配进程造成了一定的困难。

                 （早期的病毒程序也使用这种方法来躲避杀毒软件）暗示暗示嘿嘿

它是如何实现的呢？看图

当主程序调用prozs.exe时 prozs.exe会放出一个随机名字的可执行文件

经观察这个可执行文件每天的名字都是不同的，根据系统时间算出新的名字，在不知道算法的情况下匹配进程名就有些困难了。

然而作者并未想到随机制造exe而使用了一样的二进制文件。

既然文件内容没变，就可以用文件指纹（md5）来匹配进程，终于6.8版本被完美地xxxx了。

匹配文件指纹也是杀毒软件的常用招数，用于干掉不明文件（滑稽）。

附带演示 gif 

软件么可以前往官网 removectrl.mysxl.cn 下载

本贴终。。。。