万欣机房管理系统应该说是很安全的一个机房管理系统,我在网上找到破解它的教程相当的少,这个系统可以说比木马还流氓的,竟然注入了 Winlogon进程,以前的破解方法就是冻结Winlogon进程,然后结束监控的主进程,就是那个ccm的进程,当然还有先结束smss进程,然后结束Winlogon进程,最后结束ccm进程的。在万欣升级以前这些方法都可以使用的,不过我经常使用的方法就是用wsyscheck卸载万欣在 Winlogon中注入的CProtect.dll,然后再结束ccm进程,屡试不爽。

突然对这个系统发生了兴趣,于是就安全检测了一下,成功的进入到了管理系统的服务器,把整个系统的安装文件全都拷了下来,本来想在本机搭建一个实验环境,可突然发现这个系统竟然使用了软件狗,郁闷了,我的破解功底还不足破解这个狗呢,也难怪,这么著名的一个软件,保护措施肯定不错了。无奈,后来发现这个安装文件的其他部分还是可以用的,说一下,这个系统分为三个部分,服务器端,管理端和客户端,服务器只需要安装到一台服务器上,然后其他的管理人员安装管理端,学生机安装客户端。在没有狗的情况下,管理端和客户端是可以使用的,于是我在虚拟机里安装了客户端。但是因为没有服务器,所以一启动就锁定了,无法进入系统,后来我用PE工具箱把它卸了,说一下,如果你能进入PE环境,那么破解这个软件易如反掌。只需用PE带的病毒分析工具分析一下启动项,会发现一个CProtect.DLL的启动项,把它删了就可以了。卸了之后我查找了一下它释放的文件,总共六七个DLL文件,一个exe文件,其中EXE文件通过把自己加到Winlogon后的启动项,即

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\CCMProtect]
“Impersonate”=dword:00000001
“Asynchronous”=dword:00000001
“DllName”=”C:\WINDOWS\system32\CProtect.dll”
“Logon”=”Logon”
“Logoff”=”Logoff”
“Startup”=”Startup”

来实现开机加载CCM进程的,其他的一些DLL文件通过分析发现是实现控制端的一些功能,比如开机关机,远程屏幕查看,禁用优盘光驱,解锁机器等功能。另外我发现这个系统是用mssql数据库的,我找到一些敏感的密码信息,可是这种密码被不知道什么加密算法给加密了,我暂时还不能解密。

说了这么多理论性的东西,来点实在的,如果按照我前面提到的方法不能破解的话,很有可能是客户端已经升级过了,只要一结束smss进程或者卸载 CProtect.dll模块,机器立马重启。做的应该是很绝了,可是仍然没有防止冻结进程的方法,所以只要用procexp把Winlogon进程冻结掉,然后再用wsyscheck卸载CProtect.dll模块就行了,卸载模块后直接结束CCM进程就大功告成了,用卸载CProtect模块的方法有一个优点,就是完全可以秒杀万欣,破解后桌面完全正常。

这就是我对万欣机房管理系统的简单分析,有兴趣的朋友可以和我讨论。