对国内一款防勒索工具的逆向
本帖最后由 dadapa 于 2021-3-15 08:45 编辑## 前言
新人第一帖,刚开始学习逆向,有什么问题还请各位多指导,本文是对国内一款防勒索工具的简单逆向分析
> #### 来自卡饭论坛网友温馨小屋的自制勒索病毒测试,红色的为成功拦截
有这么一款防勒索工具,非常小众,主要采用勒索诱饵的方式来捕获勒索病毒,体积只有1.5M,却经常在防勒索表现上击败一些大厂杀软。这款软件是付费的,免费也可以使用但是有弹窗,这篇文章就是关于对该软件逆向分析去弹窗的尝试。
## 准备工作
原程序每次开机都会弹窗,点击继续试用以后就可以关闭弹窗正常使用,这次的目的是去除这个弹窗。
这里先用EXEinfo查一下,发现是UPX壳,用UPX官方工具脱掉,好家伙,运行之后报错了。
异常位置在这里,ECX指向的位置不存在,看这个数值是一个以400000为基地址的VA,猜测是没有重定位,于是打开loadPE,去掉随机基址,正常运行。
## 开始逆向
在CreateWindowExA和CreateWindowExW都下上断点,按F9一次次断下来,观察是哪次出现了注册提醒弹窗,然后定位在第三次CreateWindowExA上,此时调用堆栈跟回去。
发现在这个创建窗口call上面有很多跳转,先试试有没有什么跳转可以避开这个创建窗口的call,发现上面这个jmp会把它跳过
上面的jne如果不成立能过来这个jmp,底下有个je也能跳到这个jmp,对两处条件跳转下断点发现最早会执行底下652DB813,所以我们先修改这里
把这里的je直接改成无条件跳转试试,运行,发现这次不弹注册窗口了,甚至连托盘图标也变蓝色了(蓝色代表已注册用户,未注册显示的是红色)
## 补丁
接下来就是给文件打补丁了,上一步里观察标题栏可以知道我们修改的是一个叫RSBMTERREGVIEW.DLL的DLL,定位到这个文件,可知是瑞星之剑释放的一些文件,我本来想能否修改DLL之后扔到这个文件夹里面替换掉原文件,但文件被占用,而且每次关掉程序再开又会重新覆盖。所以只好修改资源文件。
用Resource Hacker打开,找到了这个DLL资源,替换成修改好的DLL,最后用UPX压缩回去,就得到了一个去弹窗的瑞星之剑。
测试了几个勒索病毒样本,功能正常,全都拦下并且结束了病毒进程。
## 后记
发现个小毛病,用UPX官方工具脱壳去随机基址后,托盘图标菜单点不出来了,如果换x64dbg脱壳,托盘图标就是正常的,但资源表还没解压缩,就得用FixRes修复重建资源表之后才能修改资源里面得DLL文件了。但这样做完最终要用UPX压回去又会报错。可能还是得把重定位表修复了吧。 图都挂了,看不到啊 图片看不到哇.... 图又可以看到了 学习是件快乐的事。。。 图片是github.io上的被墙了,建议保存本地重新编辑下{:1_909:} 没看到我想要的现成的{:1_918:} 谢谢楼主分享{:1_921:}{:1_921:}{:1_921:}{:1_921:} 感谢分享 感谢楼主精彩分析!