今天上网时无意中发现了个有意思的软件‘X卧底第二代’
闲来无事玩玩看找他的服务器没想到发现了一个秘密

下载绿色版（尽量下载绿色版，免得有文件安装到系统目录自己还不知道）

解开压缩包看到里面有5～6个dll文件，1个可执行文件

首先用PEiD查壳发现是vc++的程序，直接使用C32Asm进行静态反汇编没（本人的坏习惯，反汇编exe不喜欢看输入表，大家不要学，事实证明这个习惯让我再一次浪费了大量时间，这时只要看一眼就可以直接得出结论）
发现什么有用的东西 没有有关服务器的字符串

再看看dll吧 名字设定的很有诱惑力sys date windows …… 查壳 脱壳 C32Asm……（当时很高兴 因为有壳就以为是关键链接库） dll主要就是看输入表 输出表猜测dll导出的用途

结果我开始怀疑这个程序有没有网络通讯，因为在这个程序中我没有发现Ws2_32.dll和winsock.dll的调用。

熟悉联网验证的朋友都应该知道程序连接网络的必须使用sock访问系统网络（至少在基于winsock32的应用程序,自己编写驱动的除外，）

得出这个结论后，细细检查了一下，回想程序运行的情形疑点越来越多：防火墙没有联网提示、把dll删除后程序依然可以运行、用eXeScope查看资源数据发现只有一个界面的数据、主程序不加壳，反而给dll加壳……

我分析这个程序是自己编写的主程序（exe） 胡乱编写的dll合并而成。

最终我得出结论：这个售价298元的软件根本没有官方网站宣传的功能，只是一个骗人的空壳程序。

总结：细心 留意很小的疑点

附：
X卧底第二代官方网站 关于该软件的说明
54fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2%4L8$3c8A6x3W2)9J5k6h3y4F1i4K6u0r3j5h3&6D9K9g2)9J5k6h3S2@1L8b7`.`.

安装包有3M 就不上传了 想看看的请自己下载。

我的QQ：271976052 欢迎大家联系交流

呵呵今天发现这个网站已经被关闭了，骗子终究是骗子！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课