关于某透视自瞄软件的深入逆向

Android_army · 发表于 2016-7-27 15:09

本帖最后由 Android_army 于 2016-7-27 15:55 编辑

今天逛论坛的时候无意间发现了一款软件，看见了@gaohongye 同学的分析，我突然来了兴趣，所以对它进行了深入的分析。应大家的要求，放出原贴，希望大家不要上当。http://www.52pojie.cn/forum.php?mod=viewthread&tid=521235&extra=page%3D1%26filter%3Dtypeid%26typeid%3D157
多的不说，我们开始。

对该软件分析如下。
首先，提交火眼。http://fireeye.ijinshan.com/analyse.html?md5=6749ab5a134f6119ec8cf82cbc118b13&sha1=6c4735105c592bd58e21ee7e6b8417f818faab2d#full
发现火眼并不能识别，没办法，只能动手咯。
一、利用API载入程序，单步放行观察程序意图。得到其主要行为如下：
MessageBox ----- :  创建文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat 【放行】
MessageBox ----- :  创建文件：C:\Documents and Settings\Administrator\Cookies\index.dat 【放行】
MessageBox ----- :  创建文件：C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat 【放行】
MessageBox ----- :  打开网址：http://xui.ptlogin2.qq.com/cgi-bin/qlogin 【放行】//注：该网址为混淆网址，让用户利用快捷登录实现cookie注入。
MessageBox ----- :  创建文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SHEN4HE7\qlogin[1].htm 【放行】
MessageBox ----- :  创建文件：C:\WINDOWS\system32\mlang.dat 【放行】
http://imgcache.qq.com/ptlogin/v4/style/0/images/load.gif【放行】
MessageBox ----- :  打开网址：http://imgcache.qq.com/ptlogin/ver/10167/js/xui.js?v=10007 【放行】
MessageBox ----- :  创建文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SHEN4HE7\qlogin[1].htm 【放行】
MessageBox ----- :  创建文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CPEVSDAZ\icons[1].gif 【放行】
大致就是以上行为，程序停留在后台，循环执行以上关键命令。
二、监控文件操作。
图一所示，图一.png

监控文件从网址http://imgcache.qq.com/ptlogin/ver/10167/js/xui.js?v=10007上下载的js文件，打开后发现作者枚举了许多浏览器，并向各个浏览器中加入了cookie注入代码。另枚举了qq.com、paipai.com等网站，也同样向文件注入cookie。

图二所示，图二 .png

该软件还向程序中注入消息钩子，包括创建文件、创建进程等等，并实现监控，如果发现QQ等程序启动，那就开始用键盘钩子记录用户登陆数据。

图三所示，图三.png

软件通过网络连接到了地址183.56.150.149，利用的是80端口，实现将记录的所有数据发送给作者，从而实施盗号等损害用户利益的行为。

以上便是该款软件几乎全部的操作，希望能够给大家帮助，也再次感谢@gaohongye 同学的提醒。

注：本人html学的不是太好，所以追不出作者的邮箱等之类的东西，希望有大牛看见后能够帮助，也希望错误的地方大家能够多多指点，共同进步。谢谢！

Android_army · 发表于 2016-7-27 15:56

cqr2287 发表于 2016-7-27 15:25
支持。唔，为什么要单部放行，岂不是很慢。。。

单步放行是为了及时的寻找到临时创建的文件，有些文件分析后会得到很多的东西。

Android_army · 发表于 2016-7-30 17:16

Joke丶Shine 发表于 2016-7-30 17:10
感觉更多都是看行为和猜测，最好能从代码级别分析比较合适。

复制粘贴？

gaohongye · 发表于 2016-7-27 15:12

感谢楼主的深入分析，互相进步吧

KaQqi · 发表于 2016-7-27 15:25

支持。唔，为什么要单部放行，岂不是很慢。。。

绿颜〃 · 发表于 2016-7-27 15:27

前排学习了！

1842223254 · 发表于 2016-7-27 15:28

楼主你是怎么练出这种水平的啊

Vanish · 发表于 2016-7-27 15:41

提示: 作者被禁止或删除内容自动屏蔽

hnzzyk2016 · 发表于 2016-7-27 16:10

过来围观下！

Hmily · 发表于 2016-7-28 11:39

感觉更多都是看行为和猜测，最好能从代码级别分析比较合适。

Android_army · 发表于 2016-7-28 11:46

Hmily 发表于 2016-7-28 11:39
感觉更多都是看行为和猜测，最好能从代码级别分析比较合适。

多谢H大的提醒。

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 关于某透视自瞄软件的深入逆向

点评

免费评分

Vanish Vanish 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	Vanish 发表于 2016-7-27 15:41 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报