前几天元旦闲着没事干的时候,总想着做点什么去做一做,打发一下这无聊的时间。然后我就在网上随手打开了一个网页突然看到了一个极速还原的广告,看来这个广告的介绍,觉得这个软件似乎还不错,于是就想着制作一个专版的极速还原来自己使用。我在网上查到了极速还原的官方网站,发现已经有了最新的版本了,我便马上下载了下来,准备一探究竟。
我发现这个软件有两个文件:Setup.exe以及fakedisk.sys。一个就是主程序文件,刚才忘记跟大家说了,极速还原是一款绿色的软件,所以说是不用我们安装的,还有一个就是驱动文件。这款和以前的版本不同,以前的版本只有一个文件,安装的时候会自动从程序中释放fakedisk.sys。
当然我们要做的第一步我肯定是首先来检查软件是否被加了壳,我们首先使用Peid载入setup.exe,我们发现软件是使用“UPX 0.89.6 —1.02 /1.05 — 1.24 —> Markus &Laszlo”加的壳。原来是UPX的壳,这个就好办多了,我们马上拿出UPXShellEx把壳给脱掉。脱壳前软件是213KB,也就是218624字节,我们把软件的壳脱掉之后就变成了466KB,也就是477184字节。
当然对于查看资源,我个人还是比较喜欢用VC++以资源的形式来打开查看。在我打开之后我惊奇地发现,怎么居然有了“exe”这种资源?难道是捆绑的什么软件?我赶紧直接将其提取出来。
我输出以后,发现是一个自解压的程序包(这肯定就是在后台安装的,不然做成自解压干嘛),在我打开之后发现里面的有一个文件名中有install的字样,这就更增加了我的疑心,觉得这肯定不是什么好东西。
然后我接着分别将这四个文件提取出来逐个查看(在解压的时候微点提示有广告软件)。
我于是马上使用VC打开Snav.dll查看资源,我发现原来是百度搜索伴侣。现在终于真相大白了,我们就应该把不要的东西给删除了。我们直接在VC++中删除掉这个资源。保存后退出,然后我们再运行软件一切正常了。到了这里一个纯净的“极速还原”就被打造出来了,现在我们就可以放心的使用了。