二、程序逆向分析

PART1? 加載器

加載器由Delphi語言編寫

使用IDR打開，有“授權(quán)”、“綁定”的字樣，即為注冊機(jī)

一些反調(diào)試信息

修改注冊表關(guān)閉遠(yuǎn)程桌面功能

關(guān)閉打印機(jī)服務(wù)

枚舉窗口，檢測關(guān)鍵字(解釋了之前程序被馬上關(guān)閉的現(xiàn)象)

寫出主程序，隱藏自身窗口

加載器UI

PART2? 主程序

主程序被設(shè)置為隱藏，可以使用火絨劍提取出來

使用易語言編寫

使用OD分析，磁盤清理功能為直接調(diào)用系統(tǒng)程序“cleanmgr”

使用IE打開作者主頁

在"優(yōu)化日志.ini"寫入值為133926的項(xiàng)

結(jié)束進(jìn)程

經(jīng)分析，在“軟件進(jìn)程優(yōu)化”和“硬件邏輯優(yōu)化”模式下，會嘗試結(jié)束以下進(jìn)程：

• tphelper.exe? //騰訊安全游戲中心

• nvcontainer.exe? ?//英偉達(dá)控制面板相關(guān)

• NVIDIA Share.exe? ? ?//英偉達(dá)控制面板相關(guān)

• QQPCRealTimeSpeedup.exe? //騰訊電腦管家加速球

• RuntimeBroker.exe? ? ?//系統(tǒng)自帶權(quán)限管理組件

• NVIDIA Web Helper.exe? ??//英偉達(dá)控制面板相關(guān)
  

然后添加電源計(jì)劃

“獨(dú)家游戲模式”中，結(jié)束資源管理器進(jìn)程

“直接拉滿”模式下，會結(jié)束以下進(jìn)程：

• qq.exe? ? ? ? ?//騰訊QQ主進(jìn)程

• yy.exe????????? //YY主進(jìn)程?

• BaiduNetdisk.exe? ? ?//百度網(wǎng)盤進(jìn)程

然后結(jié)束自己的進(jìn)程。

總結(jié)：

這玩意就是一個進(jìn)程結(jié)束工具，命令行幾句話就可以實(shí)現(xiàn)。。。而且在添加電源計(jì)劃時，由于程序不能獲取新增電源計(jì)劃的GUID，所以無法判斷是否添加過了，使用次數(shù)多了就會導(dǎo)致一下情況↓↓

解決方法：

在命令行中執(zhí)行“powercfg /LIST”命令，查看所有的電源計(jì)劃

再使用“powercfg /DELETE GUID”命令一條一條刪除

===================終了===================