件你就看不到了,我认为这种方法是不可取得,文件加密的 同时不应干扰用户其他的功能,利用这种方法有点缺德之嫌。 就以这个程序为例,首先比较一下正规的 vfp6r.dll 和程序用的 vfp6r.dll 有何不同
0167:0C02102E 0167:0C021033 0167:0C021038 0167:0C02103A 0167:0C02103C 0167:0C02103E 0167:0C021044 0167:0C021047 0167:0C021049 0167:0C02104B 0167:0C02104D 0167:0C021052
MOV ECX,02 MOV EDI,0C2F24C8 MOV ESI,EBX XOR EDX,EDX REPE CMPSB JNZ NEAR 0C0EF608 MOV AL,[EBX+02] NOT EAX TEST AL,01 JNZ 0C021096 MOV ESI,01 MOV BYTE [0C30D2FC],00
[edi]为 [edi]为 c4c5 正常为 fef2
不等则跳,与其它值比较
是加密的则跳
0167:0C021059 0167:0C02105E 0167:0C021063 0167:0C021066 0167:0C021068 0167:0C02106E 0167:0C021073 0167:0C021075 0167:0C02107B 0167:0C02107D 0167:0C021082 0167:0C021086 0167:0C02108C 0167:0C02108E 0167:0C02108F 0167:0C021090 0167:0C021091 0167:0C021092 0167:0C02109
3 0167:0C021096 0167:0C021098 0167:0C02109D 0167:0C02109F 0167:0C0210A4 0167:0C0210A8 0167:0C0210AA 0167:0C0210AF 0167:0C0210B1 0167:0C0210B6 0167:0C0210B8 0167:0C0210BF 0167:0C0210C4
MOVZX MOVZX SHL ADD MOV AND CMP JNZ MOV CALL CMP JNZ MOV POP POP POP POP POP RET MOV CALL MOV CALL MOV MOV CALL MOV CALL MOV MOV MOV JMP
CX,[EBX+04] AX,[EBX+03] ECX,08 EAX,ECX ECX,[0C2F24C4] EAX,FFFF EAX,ECX NEAR 0C0EF5E8 ECX,EBX 0C0210C6 AX,[EBX+27] NEAR 0C0EF5FB EAX,ESI EDI ESI EBP EBX ECX 0C ECX,EBX 0C0A863D ECX,EBX 0C0A8727 ESI,[ESP+1C] ECX,[ESI] 0C005392 ECX,EBX 0C0A879D [ESI],EAX BYTE [0C30D2FC],01 ESI,02 SHORT 0C021059
比较文件的版本
解密部分 0 解密部分 1
解密部分 2 解密部分 3
0167:0C0A863D 0167:0C0A8640 0167:0C0A8643 0167:0C0A8644 0167:0C0A8646 0167:0C0A86