吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 40599|回复: 57
收起左侧

[转载] 变声器【第四弹】后门?!

  [复制链接]
Tom_Kenny 发表于 2019-1-7 17:35
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Tom_Kenny 于 2019-1-9 17:52 编辑

写在前面:
关于变声器没法变的疑惑请看  变声器【第五弹】https://www.52pojie.cn/thread-851057-1-1.html

1.这次不是教程,而是对于变声器第一弹的说明。
2.那么请大家期待下一次的变声器的分享,时间不长,也是我用过最好用的变声器。变声器也会告一段落了。
2.感谢吾爱各位大佬的厚爱,才让我看到该软件问题所在。
3.此次属于病毒分析,以及关于知识的普及,我明白应该发在病毒分析区,但是还是那句话,我对这个板块有感情,大大觉得不妥请帮我搬运下,爱你么么哒。
4.第一弹虽然有后门,但是下了并且使用的同学也不用担心,我把后门的地址都去访问了下,发现作者似乎倒闭了,网站什么的应该都被干掉了。
5.虽然是这样,还是建议大家不要使用了,或者在沙箱里玩一下就好。其次,链接不再补发。
6.只有病毒才说自己不是病毒,只有木马才说自己不是木马,牢记!
7.补充一点,第一弹的破解帖子已经删除,毕竟有安全隐患,但是我发贴的原因是分享破解经历,请大家明白我的用心。我之后的教程也会更加细心去分析。
——————————————————————————————————————————————————————
接下来是正题:
1. 首先认识下一种木马:暗崟虫。
这个烦人的东西简单来说是在后台偷偷执行远程代码从而达到获取权限、修改主页等一系列活动。(似乎我的主页被某60安全卫士锁死好多年了哈哈哈)
它自从2013年来被写入很多软件,尤其是工具类的。原来变声器作者:森林精品,就植入了这么一段东西,并且在他所编写的诸多工具都有哦,我列出来大家一定记得观察自己有没有使用,并提高警惕!工具列表:超级变声器、万能变声器、超级老板键、屏幕亮度调节器、光速启动、PDF转WORD超级转换器等。
且,他似乎都用一个模板诶,大家下次见到一定提高注意哦。
2.png
6.png


2.举例分析
就用之前变声器的例子好了。
首先加载恶意模块“SuperSoundCapture32.dll”,并调用其导出函数“来设置全局消息钩子。这一操作会使得“SuperSoundCapture32.dll”被系统注入到每一个窗口进程中,简单来说,他会后台偷偷加载东西。加载了什么呢?他会确认木马文件是否存在,不存在的话自己会联网下载,这就是问什么会有文本框提示你必须联网。(不会有人真的认为变声器需要联网才能用把?emmmmmm)下面图是哪里提示你需要联网,是它在调用程序看看是不是真的联网。而且会尝试去访问百度来确认是联网的!是不是很恶心?
5.png
4.png
3.png


如果它确认了确实下载了,他就开始表演了。木马是由一段LoadPE代码和一个头部信息被摧毁的恶意dll模块组成,其功能主要是加载该模块运行。LoadPE代码根据导入表重构IAT表、修复重定位,再简单校验OEP处4字节代码之后就开始从OEP执行恶意dll模块代码了。程序首次运行会写注册表项SOFTWARE\\Classes\\CLSID\\{2B53F0A7-3238-4b4d-8582E-53618739C90}\LockData,此时并不展开行为。当程序再次运行并且发现LockData中的日期和当前日期不同时,便展开行为。过程中还有一些进行环境检测,检测虚拟机、常用分析工具。


3.后果:
如果被感染了,经常性的,自己网页的主页会被修改。当然被修改主页其实也没有关系。但是,该木马恐怖的地方在于你一旦授予权限后,那么后台的操作你都不知道,这个才是最恐怖的事情。所以,还是那句话,病毒才不会说自己不是病毒,木马才说自己不是木马




爱你们。

免费评分

参与人数 18吾爱币 +16 热心值 +15 收起 理由
KdsTory + 1 + 1 我很赞同!
13435211357 + 1 + 1 我很赞同!
九宫格 + 1 我很赞同!
citygun + 1 + 1 热心回复!
H.Ra + 1 + 1 用心讨论,共获提升!
Azzzzz + 1 我很赞同!
deffy + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
王七岁 + 1 + 1 我很赞同!
诺克萨斯统领 + 1 + 1 求解,是否能提取木马搞一个纯净版的
金色的刻刻帝 + 1 + 1 谢谢@Thanks!
you920928 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
太极梦龙 + 1 用心讨论,共获提升!
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
cunzher + 1 + 1 用心讨论,共获提升!
q120379739 + 1 + 1 老哥你和变声器杠上了吗- -
oranges + 1 那么我想知道你的第一弹用了之后中毒没有?
li6893 + 1 谢谢@Thanks!
lyrong + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Tom_Kenny 发表于 2019-1-7 19:00
lyrong 发表于 2019-1-7 18:49
有研究过和用过,楼主的好像更强大,但是个人觉得硬件的变声器比软件的变声效果要更加,但是花费也更高,谢 ...

楼主的有后门哦,一定记得不要轻易相信说自己没毒的软件,emmmm
 楼主| Tom_Kenny 发表于 2019-4-24 19:03
citygun 发表于 2019-4-24 16:18
想到QQ群邮件经常受到xx变声器。。。。。。

群邮件的那个变声器可能是软件内携带木马,也有可能是xss的一个入侵,通过盗取你的cookie信息然后盗取你的邮箱,传播他们的东西。所以一定记得警惕,而且不要打开,一旦打开你的账号就有可能被别人登录。
lyrong 发表于 2019-1-7 18:49
有研究过和用过,楼主的好像更强大,但是个人觉得硬件的变声器比软件的变声效果要更加,但是花费也更高,谢谢分享!
dzc_0812 发表于 2019-1-7 21:33
谢谢分享 好像从第一到第四都看过了..
cunzher 发表于 2019-1-7 21:38
很不错的文章。
有兴趣的同学也可以搜索一下360安全团队对暗崟虫后门的分析
星.魂 发表于 2019-1-7 21:44 来自手机
不错哦楼主
Rsvid 发表于 2019-1-7 21:53
很不错,感谢提醒
TL90 发表于 2019-1-7 21:53
好可怕啊这些人。。。:@
随意点 发表于 2019-1-7 23:12
我下过,但安装失败,这样会被病毒影响吗?我主页经常被各种软件调戏,都习以为常了,其他浏览器懒得管,平时用火狐,把快捷方式删了就好了
wuailaomao 发表于 2019-1-7 23:40
火绒检查得出吗
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:38

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表