网站 › 『病毒分析区』 › 什么刷TX 的QB都是假的，实例破解

cool147852369 发表于 2016-2-27 09:15

什么刷TX 的QB都是假的，实例破解

本帖最后由 cool147852369 于 2016-2-27 09:26 编辑

为了安全请在虚拟机中分析，火眼报告在下面
1.脱壳
此处略去
2.用OD载入如图
3.看看字符串发现如下内容……


这个**居然还在用SMTP 发信
所以，不说话 进去看看不过很可惜，密码已经被修改了
跟进
00473260=免费版刷.00473260 (ASCII "qwedsa123")

他的密码， 目测是小号
也不深入探究了


总之记住，世界上没有免费的午餐的


所以发这个帖子做早饭了


破解例子如下
免费版刷钻软件.7z

没有屌丝通道……网盘什么的不让传

火眼报告：http://fireeye.ijinshan.com/analyse.html?md5=767ab1caf0f6a5d8d6b856e8c75af13f&sha1=1f4794613e6e956c30d74db69ac30e2eb2cfca02&type=1
文件名称
文件MD5
上传时间




免费版刷钻软件.exe
767ab1caf0f6a5d8d6b856e8c75af13f
2016-02-27 09:12:31
基本信息

[*]文件名称：免费版刷钻软件.exe
[*]MD5：767ab1caf0f6a5d8d6b856e8c75af13f
[*]Sha-1：1f4794613e6e956c30d74db69ac30e2eb2cfca02
[*]文件大小：652KB
[*]创建时间：2016-02-27 09:12:31
[*]文件类型：EXE
[*]PEID信息：Microsoft Visual C++ 6.0
[*]文件注释：本程序使用易语言编写(http://www.eyuyan.com)
[*]文件描述：易语言程序
[*]文件版本：1.0.0.0
[*]版权所有：作者版权所有 请尊重并使用正版
[*]产品名称：易语言程序
[*]产品版本：1.0.0.0


火眼点评
      远程注入其他进程;添加Windows防火墙例外，防止访问网络时被防火墙拦截;IE 代理服务器设置;在其他进程中申请内存;隐藏指定窗口;创建互斥体

危险行为监控

[*]行为描述：远程注入其他进程
附加信息：winlogon.exe




其他行为监控

[*]行为描述：创建互斥体
附加信息："Vx_5"


[*]行为描述：隐藏指定窗口
附加信息：WTWindow : [免费版刷钻软件.exe]


[*]行为描述：在其他进程中申请内存
附加信息：%system%\winlogon.exe


[*]行为描述：IE 代理服务器设置
附加信息：关闭IE代理服务


[*]行为描述：添加Windows防火墙例外，防止访问网络时被防火墙拦截
附加信息：\??\%system%\winlogon.exe >> \??\%system%\winlogon.exe:*:enabled:@shell32.dll,-1





[*]新增
[*]删除
[*]修改
注册表监控

[*]HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\F...[\??\%system%\winlogon.exe] = [\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1]

[*]HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Services\SharedAccess\Paramete...[\??\%system%\winlogon.exe] = [\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1]



运行截图

[*]http://img.fireeye.ijinshan.com/ScreenShot/b1/3f/ee/4e/88/b13fee4e88402c24ed12c6cd2a568ef0.jpg
[*]http://img.fireeye.ijinshan.com/ScreenShot/73/20/60/1f/3f/7320601f3f590125a64f7b5c91aba170.jpg
[*]http://img.fireeye.ijinshan.com/ScreenShot/f3/04/6c/1e/1d/f3046c1e1de9e9ca5a2d790e3995fc14.jpg

左手年华右手花 发表于 2016-2-28 13:55

这么渣的软件还有这闲心去弄。。。看界面都知道是个垃圾写的垃圾货

MAXtoDEATH 发表于 2016-8-10 09:31

你这个分析的有点粗略了。。。很多时候你是发现不了被变形加密后的字符串的，甚至这个时候连界面的非标都不可提取，lz可以仔细分析下再发一个更详细的，可以跟一下函数啥的→_→

willJ 发表于 2016-2-29 15:40

亲，能好好编辑下文章么？

学霸 发表于 2016-2-29 17:27

能好好编辑下文章么？{:17_1051:}

z1114829013 发表于 2016-2-29 20:35

肯定假的

那份执着 发表于 2016-2-29 20:49

排版无法直视。。。

谢辰 发表于 2016-2-29 21:05

{:1_908:}软件界面无法直视！排版更无法直视！你可以录个视频

小生不怕不怕 发表于 2016-3-1 00:02

软件小白写的,咱能把排版搞好么

Kuso 发表于 2016-3-14 14:19

我想说的楼上都说了，但还是要支持一下楼主！

di7gan 发表于 2016-3-14 14:22

那里那么容易刷，经历过就都清楚是假的了！

查看完整版本: 什么刷TX 的QB都是假的，实例破解