网站 › 『申请专区』 › 申 请 I D ：vcvycy【申请通过】

发表于 2016-10-10 15:34

申 请 I D ：vcvycy【申请通过】

      
            1、申 请 I D ：   vcvycy
2、个人邮箱：352871242@qq.com
3、原创技术文章
刚被坑的，直接边分析边写帖子吧~.~
0x00 下载外挂遇到恶意软件
    刚刚在52辅助网上看到一个CF透视外挂，下载后居然是一个网页，跳转到地址：http://www.haloumao.com/haloumao/product/2016-10-7/291.html，描述得像模像样的，下载之，虚拟机运行——
    结果如下（在个人博客放病毒也是无耻）：
    无法切换程序，任务管理器也调不出来，重启电脑后不起作用照样这样。
0x01 恢复操作——恢复电脑正常打开
   思路：进入安全模式，先取消病毒自动执行。
   重启按F8进入安全模式，运行msconfig —— 发现msconfig.exe没运行，却又跳出了病毒程序。
   换种思路，重启进入“带命令行安全模式”，运行msconfig，好了，正常了。 猜测：安全模式和带命令行安全模式好像就相差一个explorer.exe进程，我猜测通过explorer.exe中打开文件时，都会自动执行病毒文件d:\haloumao\halou.exe，故在安全模式下，虽然病毒无法开机启动，却可以通过Explorer.exe启动自身；而带命令行的安全模式默认不执行explorer，故我们可以正常打开exe。
   现在先取消病毒自启动，执行以下步骤：
   1、查看MSCONFIG启动选项：多了一个"d:\haloumao\halou.exe",，果断取消掉。
   2、将halou.exe改名为halou.exe.bak，方便之后调试，并且避免病毒以其他方式运行。
   启动电脑，一切顺利。
   接下来：进入病毒文件夹做进一步分析，程序清单如下：
   
0x02 恢复操作——EXE文件关联问题
   现在又出现一个新的问题：打开大部分可执行文件（如cmd.exe,regedidt.exe,msconfig.exe)时，会提示：
    （但可以打开任务管理器）
    分析：病毒通过修改注册表来将PE文件关联执行其自身，而此时我们已经把halou.exe改名了，系统无法找到病毒exe文件，故会出现“打开方式"窗口。
    具体： 在病毒文件夹有一个halou.reg注册表文件，打开它：
   
    可知是通过修改注册表的exe文件关联，将exe文件执行指向病毒文件。
   现在我们来恢复exe文件执行关联
   由于大部分程序都执行不了了，都会直接调用不存在的病毒文件"d:\haloumao\halou.exe"而出现打开方式窗口。一个思路就是将我们要执行的文件移动重命名为"d:\haloumao\halou.exe"。 但是如果直接将regedit.exe重命名过去，由于带参数("格式为：d:\haloumao\halou.exe %1 %*"）会导致无法打开注册表，所以我们先尝试打开CMD：
   进入c:\windows\system32\，将cmd.exe复制出来保存为"d:\haloumao\halou.exe"，然后任意打开exe文件，这样命令行就出来了，执行regedit.exe，进入，将前缀"d:\haloumao\halou.exe"删除。修改后：
    现在试着执行下exe文件，好了，一切正常了，但是我们不知道病毒还有没有耍其他花招，现在分析病毒程序了。
0x03 病毒程序分析一：yxcq.exe            拉入PEID，是用VB写的。
    直接放入VBDECOMPILE，反编译：                              这个文件看起来只是为了写入一个注册表项，修改EXE文件关联。            0x04 病毒程序分析二：halou.exe            (1) 病毒强制全屏显示原理：隐藏任务栏、自身窗口全屏化且强制显示在前面、不生成任务栏图标。            分析：             首先，由于病毒程序执行后，全屏显示似乎没办法调出其他程序，难以动态调试。但是这个问题很容易解决，            因为任务管理器可以调出来，然后在任务管理器把病毒最小化，然后就可以了~继续用OD调试了。如图：                         分析隐藏任务栏的代码：         原理：通过FindWindow函数查找任务栏句柄（名称："Shell_TrayWnd"），然后通过ShowWindow函数隐藏任务栏。（如果要重新显示任务栏，只需要结束explorer.exe在重新打开即可。）   分析窗口全屏+始终显示在最前使得其他程序被隐藏：
原理：设置BorderStyle=0（在VBDecompile可以看到这个属性）及调用SetWindowsPos即可。现在我们先把显示在最前面的功能去掉以免影响调试，通过VBDecompile中解析出来的Form_Load函数定位到SetWindowPos的调用地址为0x0041A7FA，载入OD将参数2值由-1(HWND_TOPMOST)修改为-2(HWND_NOTOPMOST)，可以顺利调试了。如图：       现在显示的原理都分析得差不多。(2) 分析密码生成算法先设置断点，在VBDecompile可以看到窗体函数有6个函数，设置断点后，分析如下：Form_Load函数：程序在执行时，会调用随机函数，按某种方法生成一组key-value，在程序关闭前不会改变，并被要求打钱给作者以解除限制。Label6_Click函数：密码检测函数，此函数执行前，key已经产生好了，这个函数仅仅是对密码进行明文校验。
   

Hmily 发表于 2016-10-10 18:08

ID：vcvycy
邮箱：352871242@qq.com

申请通过，欢迎光临吾爱破解论坛，期待吾爱破解有你更加精彩，ID和密码自己通过邮件密码找回功能修改，请即时登陆并修改密码！
登陆后请在一周内在此帖报道，否则将删除ID信息。

ps：文章有些乱，登录后请把文章整理一下发到病毒分析区吧。

aiLT 发表于 2016-10-10 19:17

膜拜大神

vcvycy 发表于 2016-10-11 14:19

报道~.~
文章临时写的，有点乱，过两天我整理下。

dxdeng 发表于 2016-10-11 14:28

思路很好，学习了

Sound 发表于 2016-10-11 14:33

Hmily 发表于 2016-10-10 18:08
ID：vcvycy
邮箱：



这不是报道了么,为什么标题显示未报到？

_知鱼之乐 发表于 2016-10-11 14:43

学习了学习了

lch_sw 发表于 2016-10-11 14:48

欢迎来到吾爱

有趣的二进制 发表于 2016-10-11 15:00

怎么屏蔽：CTRl+ALT+DEL
还有SHIFT5次

mengzhenhai 发表于 2016-10-12 23:05

欢迎加入吾爱    {:17_1089:}

查看完整版本: 申 请 I D ：vcvycy【申请通过】