首页
社区
课程
招聘
灌水-某木马初步分析
发表于: 2004-5-25 16:16 9363

灌水-某木马初步分析

2004-5-25 16:16
9363

某木马初步分析
kongfoo/2004.5.25
  今天早上把QQ挂在线上,过了一会有个人加了好友,过了一会就发了个文件
过来,“照片62.EXE”,JPG的图标,用PEiD看一下是ASPACK的壳,反正正
想要找些东西来玩玩(上个星期搞了一个星期某壳的unpacker还未成功,郁
闷中)。
  ASPACK的壳好脱啦,直接去入口+3ae的地方就是出口。

0040A3AF    61              POPAD
0040A3B0    75 08           JNZ SHORT 照片62.0040A3BA
0040A3B2    B8 01000000     MOV EAX,1
0040A3B7    C2 0C00         RETN 0C
0040A3BA    68 E2154000     PUSH 照片62.004015E2  ==去OEP
0040A3BF    C3              RETN
00403D8D    FF15 A0D04000   CALL DWORD PTR DS:[<&kernel32.CreateFile>; kernel32.CreateFileA  ==打开自己。

00401C23    FF15 3CD04000   CALL DWORD PTR DS:[<&kernel32.SetFilePoi>; kernel32.SetFilePointer  ==去文件尾。

00403926    FF15 6CD04000   CALL DWORD PTR DS:[<&kernel32.ReadFile>] ; kernel32.ReadFile  ==读1000字节。

00401C23    FF15 3CD04000   CALL DWORD PTR DS:[<&kernel32.SetFilePoi>; kernel32.SetFilePointer  ==去文件尾(就是上面的代码啦)。

0040102E    E8 EE030000     CALL dumped_.00401421  ==可以看到401421/4013ca/4013bf都被调用了3次
00401033    53              PUSH EBX                      ==401421就是设置文件指针,4013ca读文件
00401034    8D5424 30       LEA EDX,DWORD PTR SS:[ESP+30]
00401038    6A 06           PUSH 6
0040103A    52              PUSH EDX
0040103B    E8 8A030000     CALL dumped_.004013CA
00401040    8D4424 38       LEA EAX,DWORD PTR SS:[ESP+38]
00401044    50              PUSH EAX
00401045    E8 75030000     CALL dumped_.004013BF
0040104A    6A 02           PUSH 2
0040104C    6A F4           PUSH -0C
0040104E    53              PUSH EBX
0040104F    8BE8            MOV EBP,EAX
00401051    E8 CB030000     CALL dumped_.00401421
00401056    53              PUSH EBX
00401057    8D4C24 44       LEA ECX,DWORD PTR SS:[ESP+44]
0040105B    6A 06           PUSH 6
0040105D    51              PUSH ECX
0040105E    E8 67030000     CALL dumped_.004013CA
00401063    8D5424 4C       LEA EDX,DWORD PTR SS:[ESP+4C]
00401067    52              PUSH EDX
00401068    E8 52030000     CALL dumped_.004013BF
0040106D    6A 02           PUSH 2
0040106F    6A FA           PUSH -6
00401071    53              PUSH EBX
00401072    894424 54       MOV DWORD PTR SS:[ESP+54],EAX
00401076    E8 A6030000     CALL dumped_.00401421
0040107B    83C4 44         ADD ESP,44
0040107E    8D4424 28       LEA EAX,DWORD PTR SS:[ESP+28]
00401082    53              PUSH EBX
00401083    6A 07           PUSH 7
00401085    50              PUSH EAX
00401086    E8 3F030000     CALL dumped_.004013CA
0040108B    8D4C24 34       LEA ECX,DWORD PTR SS:[ESP+34]
0040108F    51              PUSH ECX
00401090    E8 2A030000     CALL dumped_.004013BF
00401095    83C4 10         ADD ESP,10
00401098    8D5424 30       LEA EDX,DWORD PTR SS:[ESP+30]
0040109C    894424 14       MOV DWORD PTR SS:[ESP+14],EAX
004010A0    68 80000000     PUSH 80
004010A5    52              PUSH EDX
004010A6    FF15 08D04000   CALL DWORD PTR DS:[<&kernel32.GetSystemD>; kernel32.GetSystemDirectoryA  ==很明显了
004010AC    BF 5C704000     MOV EDI,dumped_.0040705C                 ; ASCII "\help3721.dll"  ==看到3721就有点&^$#$@#感觉$%^%#$

00403D8D    FF15 A0D04000   CALL DWORD PTR DS:[<&kernel32.CreateFile>; kernel32.CreateFileA  ==生成%systemdir%\help3721.dll

00401C23    FF15 3CD04000   CALL DWORD PTR DS:[<&kernel32.SetFilePoi>; kernel32.SetFilePointer  ==去文件头

004011BE    FF15 04D04000   CALL DWORD PTR DS:[<&kernel32.GetTempPat>; kernel32.GetTempPathA  ==图片要解在临时目录
004011C4    BF 30704000     MOV EDI,dumped_.00407030                 ; ASCII "80C834BC.jpg"

00403D8D    FF15 A0D04000   CALL DWORD PTR DS:[<&kernel32.CreateFile>; kernel32.CreateFileA  ==生成图片

00401266    FF15 C0D04000   CALL DWORD PTR DS:[<&shell32.ShellExecut>; shell32.ShellExecuteA  ==打开图片

00401276    FF15 60D04000   CALL DWORD PTR DS:[<&kernel32.WinExec>]  ; kernel32.WinExec  ==用rundll32打开help3721.dll
                                                                                         ==rundll32 %system%\help3721.dll,Rundll32

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 10
支持
分享
最新回复 (11)
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
2
不错,支持一下
2004-5-25 16:54
0
雪    币: 221
活跃值: (100)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
顶下``
2004-5-25 22:12
0
雪    币: 233
活跃值: (160)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
呵呵  不知道DLL脱壳还能不能用呢!
可惜这个DLL不太好试。。。

我用以上方法脱 加密与解密 第11章的ASPACK 的DLL壳还没成功

晕。
2004-5-25 23:52
0
雪    币: 218
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
呵呵,应该是用什么捆绑软件绑过了,绑过之后,都是aspack.:D 曾经玩过。
2004-5-26 09:17
0
雪    币: 267
活跃值: (285)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
呵呵......
这种方法对付一般的小菜鸟或新手一般是百发百中!
2004-5-27 08:37
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
灌水都这么有水准
2004-5-27 20:23
0
雪    币: 227
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
佩服佩服
2004-5-28 19:52
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
把plmm放上来让我们过过眼瘾呗:D
2004-5-28 20:12
0
雪    币: 371
活跃值: (790)
能力值: ( LV12,RANK:570 )
在线值:
发帖
回帖
粉丝
10
最初由 拉登 发布
把plmm放上来让我们过过眼瘾呗:D


放不来就不好啦,去各大贴图论坛就可以过眼瘾:D
2004-5-28 22:21
0
雪    币: 36
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
老哥能不能帮我看一个软件???
2019-7-24 21:36
1
游客
登录 | 注册 方可回帖
返回
//