吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 20401|回复: 25
收起左侧

[PC样本分析] 私服远控(白利用)木马分析

  [复制链接]
kangkai 发表于 2015-11-10 13:00
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 kangkai 于 2015-11-10 13:06 编辑

// 晚上再来补充一点别的信息吧,样本来源于某个朋友


一、详细分析
      1.      木马特点

木马作者精心构筑了一个层层利用的方式,通过执行白exe文件,加载白dll文件,最后通过dll文件加载ocx文件来解密ocx文件中的shellcode,最终通过解密的shellcode来执行最终的远控功能。

2. 流程图
QQ截图20151110121341.png


3. 木马执行流程

3.1  在%program%木马释放一个私服文件,并执行迷惑用户在启动私服游戏


1.png
9.png

私服登录器启动界面如图

10.png

3.2 在%program%和%Windows NT%释放木马执行文件

2.png

3.png

4.png

6.png

5.png

8.png
3.3  执行winit.exe文件,并加载potplayer.dll

11 shellexecute winnt.exe.png

14.png

3.4 potplayer.dll动态链接库文件加载后,会加下同目录下的Torchwood.ocx文件,
      Torchwood.ocx文件为真正的远控代码所有者。通过读取Torchwood.ocx中的shellcode
      来执行远控操作。对shellcode解密后发现这段shellcode为pe文件

dump.png

3.5  通过抓包工具去抓取远程地址发现为一个IP地址,但是没有数据传回,可能这个地址已经失效了

111.png



3.6  我来看看dump出来的这段pe文件,用winhex发现有一段加密的字符串

QQ截图20151110125212.png

通过OD对这段加密字符串解密,发现是一张图片,但是已经失效了

3.png





免费评分

参与人数 4热心值 +4 收起 理由
stupidjia + 1 我很赞同!
aals + 1 鼓励转贴优秀软件安全工具和文档!
Hyabcd + 1 我很赞同!
aitest + 1 检查裸奔玩私服的路过。。一般登录器都带毒.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

willJ 发表于 2015-11-11 09:53
“对shellcode解密后发现这段shellcode为pe文件”

这句话我不是很赞同,那个不能算shellcode,更准确应该称呼为资源文件。
小溪 发表于 2015-11-10 13:03
嘉靖 发表于 2015-11-10 13:34
aals 发表于 2015-11-10 19:40
看得不明白需要学习一下。谢谢楼主的分享。
wangxin 发表于 2015-11-10 19:48
看来私服以后也不能玩了!!!!
我是用户 发表于 2015-11-11 10:23
很老的东东了
dotaSven 发表于 2015-11-11 14:39
应该是在资源中释放一个PE文件把
HackedNo.1 发表于 2015-11-11 20:15
666666666 感谢分享 有的学习
馒头小子 发表于 2015-11-11 20:45
看不懂,原谅我是个新手
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:30

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表