今天分析一款办税助手软件,下载地址:
http://www.jchl.com/portal/jchl/products/bszs.html#product_file
准备安装
软件界面很漂亮,看看怎么做的,spy++查看下,感觉像c++,里面嵌入了web页面
安装之后自动检测我的电脑,缺少什么,联网下载pdf软件
安装完成了,整体风格不错
spy++查看下,原来是delphi写的,用到了DEV控件。如下图:
看看安装目录文件构成
里面用到了谷歌浏览器内核、SQLITE数据库、Office2007Blue(dev的皮肤文件,直接记事本打开看看就知道了)、cmipcrypt.dll(这个挺有趣的,用的是博客园的,RSA算法,用到这个的都比较高大尚)
回到刚才安装的界面,当时感觉是c++写的,PEID,看看了下,好像搞了个壳
看看主程序是不是delphi,FTCSPLoader.exe这个程序挺有意思,运行接着就关闭了,启动了FTCSP.exe,看看结构
FTCSPLoader.exe应该是检测升级,这里面检测应该是主程序有更新的时候,好更新。
打开资源工具,看看资源是不是DELPHI的,结果报错
看命名规范应该是delphi,PEID看看,原来加壳了
脱壳之后,程序好大,11MB
可以成功运行
看看资源
里面用到了控件
DBISAM、TRxGIFAnimator、TChromium、dev、TWebBrowser
下一篇准备分析下
C:\Program Files (x86)\FtcspBszsFreeFj\plugins
原文:https://www.cnblogs.com/masg/p/9794957.html