史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-03-09, 01:00 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 對一個莫名的盜號木馬的分析

上次網友小孟發了一個帖文,http://www.patching.cn/bbs/viewdoc.asp?id=28137&bordid=2說要解密一個網頁檔案,我就看了隨便編了個解密的東東看了一下,卻沒想到發現了一個新的尚未被殺毒軟體截獲的病毒。
主要是看這裡面的兩段代碼
http://binfen.jahee.com/page/wzqnba/flash.pif 這應該是個EXE檔案。還有
<p align="center"><font color="#FFFFFF">點擊"是"下載播放必需插件</font></p>
這兩段代碼讓人迷惑,我覺得有點奇怪,索性下載了flash.pif
命令行下 ren flash.pif flash.exe
是delphi寫的 ,主要使用滑鼠和鍵盤紀錄函數。 然後根據登入窗體分析登入情況。
首先先用UE開啟,果然是一個盜號的東西
從下面的大量的傳奇區號還有delcare就看得出這是一個盜號軟體
接著開啟工具反編譯
Code Offset = 00000400, Code Size = 0000D400
Data Offset = 0000D800, Data Size = 00000200
Addr:00011A22 hint(0000) Name: RegisterServiceProcess
註冊成為系統服務,在Win9x下隱身,在win2k下糊弄人
Import Module 009: wsock32.dll
Addr:0001196C hint(0000) Name: WSACleanup
Addr:0001197A hint(0000) Name: WSAStartup
Addr:00011988 hint(0000) Name: gethostname
Addr:00011996 hint(0000) Name: gethostbyname
Addr:000119A6 hint(0000) Name: socket
Addr:000119B0 hint(0000) Name: send
Addr:000119B8 hint(0000) Name: recv
Addr:000119C0 hint(0000) Name: inet_ntoa
Addr:000119CC hint(0000) Name: inet_addr
Addr:000119D8 hint(0000) Name: htons
Addr:000119E0 hint(0000) Name: connect
Addr:000119EA hint(0000) Name: closesocket
把截取到的密碼使用winsock發出去,這點很不高明,因為會被防火牆截取
從上面順序是可以看出它的過程的
Import Module 006: advapi32.dll
Addr:0001166E hint(0000) Name: RegSetValueExA
Addr:00011680 hint(0000) Name: RegQueryValueExA
Addr:00011694 hint(0000) Name: RegOpenKeyExA
Addr:000116A4 hint(0000) Name: RegEnumKeyExA
Addr:000116B4 hint(0000) Name: RegDeleteValueA
Addr:000116C6 hint(0000) Name: RegDeleteKeyA
Addr:000116D6 hint(0000) Name: RegCreateKeyExA
Addr:000116E8 hint(0000) Name: RegCloseKey
這個應該是註冊為每次開機自動執行
Import Module 002: user32.dll
Addr:00011564 hint(0000) Name: GetKeyboardType
Addr:00011576 hint(0000) Name: MessageBoxA
Addr:00011584 hint(0000) Name: CharNextA
Import Module 007: kernel32.dll
Addr:00011704 hint(0000) Name: WritePrivateProfileStringA
Addr:00011722 hint(0000) Name: WinExec
Addr:0001172C hint(0000) Name: TerminateProcess
Addr:00011740 hint(0000) Name: OpenProcess
Addr:0001174E hint(0000) Name: GetWindowsDirectoryA
Addr:00011766 hint(0000) Name: GetProcAddress
Addr:00011778 hint(0000) Name: GetModuleHandleA
Addr:0001178C hint(0000) Name: GetModuleFileNameA
Addr:000117A2 hint(0000) Name: GetLocalTime
Addr:000117B2 hint(0000) Name: GetCurrentProcessId
Addr:000117C8 hint(0000) Name: GetComputerNameA
Addr:000117DC hint(0000) Name: CopyFileA
Addr:000117E8 hint(0000) Name: CloseHandle
這個應該是飛form發message來確定窗體是否是需要截取的登入窗體
Import Module 001: kernel32.dll
Addr:000112D6 hint(0000) Name: GetCurrentThreadId
Addr:000112EC hint(0000) Name: DeleteCriticalSection
Addr:00011304 hint(0000) Name: LeaveCriticalSection
Addr:0001131C hint(0000) Name: EnterCriticalSection
Addr:00011334 hint(0000) Name: InitializeCriticalSection
Addr:00011350 hint(0000) Name: VirtualFree
Addr:0001135E hint(0000) Name: VirtualAlloc
Addr:0001136E hint(0000) Name: LocalFree
Addr:0001137A hint(0000) Name: LocalAlloc
Addr:00011388 hint(0000) Name: VirtualQuery
Addr:00011398 hint(0000) Name: lstrlenA
Addr:000113A4 hint(0000) Name: lstrcpynA
Addr:000113B0 hint(0000) Name: lstrcpyA
Addr:000113BC hint(0000) Name: LoadLibraryExA
Addr:000113CE hint(0000) Name: GetThreadLocale
Addr:000113E0 hint(0000) Name: GetStartupInfoA
Addr:000113F2 hint(0000) Name: GetProcAddress
Addr:00011404 hint(0000) Name: GetModuleHandleA
Addr:00011418 hint(0000) Name: GetModuleFileNameA
Addr:0001142E hint(0000) Name: GetLocaleInfoA
Addr:00011440 hint(0000) Name: GetLastError
Addr:00011450 hint(0000) Name: GetCommandLineA
Addr:00011462 hint(0000) Name: FreeLibrary
Addr:00011470 hint(0000) Name: FindFirstFileA
Addr:00011482 hint(0000) Name: FindClose
Addr:0001148E hint(0000) Name: ExitProcess
Addr:0001149C hint(0000) Name: WriteFile
Addr:000114A8 hint(0000) Name: UnhandledExceptionFilter
Addr:000114C4 hint(0000) Name: SetFilePointer
Addr:000114D6 hint(0000) Name: SetEndOfFile
Addr:000114E6 hint(0000) Name: RtlUnwind
Addr:000114F2 hint(0000) Name: ReadFile
Addr:000114FE hint(0000) Name: RaiseException
Addr:00011510 hint(0000) Name: GetStdHandle
Addr:00011520 hint(0000) Name: GetFileSize
Addr:0001152E hint(0000) Name: GetFileType
Addr:0001153C hint(0000) Name: CreateFileA
Addr:0001154A hint(0000) Name: CloseHandle
這個應該是截取密碼和儲存密碼中其主要作用的東東
我又看了啟動的部分
使用kernel32.dll
來寫檔案,估計是複製自己,為了更好的隱藏
還有其它的...
* Possible StringData Ref from Code Obj ->"System.ini"
|
:0040DFEF 6860E14000 push 0040E160
* Possible StringData Ref from Code Obj ->"Explorer.exe TaskMon32.exe"
|
:0040DFF4 686CE14000 push 0040E16C
* Possible StringData Ref from Code Obj ->"Shell"
|
:0040DFF9 6888E14000 push 0040E188
* Possible StringData Ref from Code Obj ->"boot"
|
:0040DFFE 6890E14000 push 0040E190
最後總結一下
他在裡面
監視legend of mir2這個窗體
legend\change password\
legend\enter\
lengend\registry\
看來我前面有點想錯了
他可以殺掉kavpfw.exe
kvfw.exe
ravmon.exe
ravmonclass
zonealarm
好像還監視寫了hklm\software\microsoft\windows\currentversion\runs\
software\borland\delphi\rtl
software\borland\locales\
發出的盜號email的頭是from:mir<
但這個盜號軟體有個致命漏洞,只能盜密碼為1-0,a-z的密碼
對於特殊字元,沒有能力

希望網友上網的時候多多主義網路上的陷阱。
Good Luck
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 02:28 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1