对捆马者的分析--脱壳--揭开骗局--学习他的技术
现在的时代。。捆马成风,什么东西里都捆马,五花八门的方式都出来了。。就连一个游戏也要捆马。我在BT之家看到场了一个 抢滩登陆2006 就他的介绍看来是不错的,捆马的人自己敢声称:经kv2005把关无毒,说明他对自己的免杀的功力是很有自信的,下面,就让我们来一步步的揭开他的骗局下载得到抢滩登陆2006.exe 如图片所显示,的确kv2006下提示无毒,用瑞星金山全部提示无毒,用PEID检查为看上去没有问题,但是一个安装包怎么可能是Microsoft Visual C++ 6.0?下面这张图片一个安装包竟然要用vmprotect处理?这是为什么?要免杀吗?这就更加怀疑了。。
下面开始和捆马者正面较量!
我开始把他想简单了,以为可以直接用安装包解开工具直接处理,没想到的是我的所有安装包解开工具都提示无法解开,原因我想应该是vmprotect改变了文件的一些结构,从而无法识别的,好的,我们来简单的,直接运行安装包,不过要先记得拔掉网线!!
这里提供一个好工具icesword 1.18 利用icesword 1.18的线程监控功能,我们可以轻易的发现马的一切动作;
要,我们运行他,什么也不要再点,直接来看就是这个图片,2006.exe就是安装包主文件,仔细看好了,2006.exe启动了一个2.tmp和3.tmp,然后就创建了awaress.cn文件,进而,awaress.cn创建了iexplorer.exe这个东西看起来象个网站,其实就是鸽子的主体文件,下面我们把他检测一下。。这个图片是virustotal的检测结果,我们可以看到,这个家伙用了nspack pe_patch两个加壳工具不过ewido/卡巴还是能查杀他
木马已经进入了系统,下面我们把他抓出来,看看服务:瞧,和他的主文件名一样,在看看文件 这个文件就是他释放出的马了,结合icesword 可以看见红色的iexplorer.exe,即为木马的进程。木马已经抓出来了,下面就是对他处理处理。可以抓到后台的捆马的人,找出他的IP,然后嘛,拿出我们的强力攻击工具搞死他。。哈哈我个人习惯把文件改成DLL,这样一来可以防止误运行,又可以被PE工具检测,我们可以看到,是nspcak的加可,可以进一步确认为NsPacK V3.7 -> LiuXingPing *的
为了能够反向抓出捆马的人,我们首先来脱壳,用Ollydbg加在使用ESP定理,在0012ffc0上下memory access端点,我们回来到这里难道脱壳没有成功?不,这个捆马着加了两次NSPACK,同样的方法,我们解决问题,回来到这里这里是捆马的家伙自己写的花指令,一路跟踪下去。。我们最终回到达以下地方 从这里开始,所有的壳已经被解开开,我们看看下图 作者还写好了Ultra String Reference,项目 864
Address=004A2ED7
Disassembly=push Awarenes.004A2FD6
Text String=雨花石专版服务端安装成功!哈哈,名字就在这里,我们等会再去看看,先解决反向连接的IP,我们来到这里
堆栈 ss:[0012FF70]=00E63874
edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171
DD743F967A806141107A05DFE0AD79C0D311361503EE75A3AC2CC096919
737A72F340252EF6F00377CC910B5A0F41243C773D542B3D61227F040B2EC6885484
641D47B329E19EDFB40FE692E8DA4EE8D99158E7D2230BA5DE94B7D6FB)
堆栈 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn")
edx=00000000
堆栈 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb")
edx=00000000
堆栈 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn")
edx=00000000
共2页: 上一页 1 [2] 下一页
|