首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [原创]试手脱搜狗拼音输入法安装程序,发现恶意操作嫌疑 0.00雪花
发表于: 2011-2-28 16:04 1212

[旧帖] [原创]试手脱搜狗拼音输入法安装程序,发现恶意操作嫌疑 0.00雪花

realzyc 活跃值
2011-2-28 16:04
1212
初学OD及脱壳,在KSSD学习了一些基本OD知识和脱壳技巧之后,就手痒的想对自己电脑里面的程序下手了!通过卡巴斯基找到了电脑里面的一些加了壳的程序,选定了搜狗拼音输入法的安装程序(官方下载,sogou_pinyin_50n.exe)。卡巴的检测结果如下:
 

貌似是UPX壳,可是进一步通过PEiD检测,得到壳的类型为:
    Nullsoft PiMP Stub [Nullsoft PiMP SFX] *
如图:
 

在看雪中查到,那是 Nullsoft 安装脚本制作的程序,可以用uniextract 解包工具解开。但出于练习的角度,尝试通过OD(OllyDbg 1.10)手脱之。

打开OD,载入sogou_pinyin_50n.exe,如图所示:
 

使用断点法脱壳,即:F8逐行步过运行,遇到向下跳转不管它继续运行,而当遇到向上的跳转(即循环性质),则在跳转前的下一行使用“断点->运行到此处”,这样就可以快速的通过循环的部分,以找到程序真正的入口(OEP)。

具体操作以下图为例:
例一:当(逐行步过)F8步入到0056FCAD时,发现已经实现的跳转,其方向是向下的,不做操作,继续F8。
 

例二,当F8到0056FD81时,发现已经实现的跳转,而且其方向是向上的,如果我们这时继续F8,这就中了圈套,并不断的在这个循环中被消磨死。
 

因此,找到它的下一行,即0056FD83这一行,进行“断点->运行到此处”操作,如图,建议使用方便的快捷键F4,如图。
 

这样,我们就成功的步过了这个循环。如此F8+F4,又陷入了一个跳转的小陷阱,最终运行到了这里。
 

可以看到,这部分代码是静态的,因此可以直接在载入后在0056FE4C处加断点,直接F9运行到此处。

此时欣喜的看到了一个大跳转,原以为会直接跳到OEP(之前学到一些老的壳的边界很明显,即这种跳转就会到达OEP),但F8之后却看到了如下情景。
 

此处没有任何入口的征兆,只好继续F8+F4。

然而走着走着,发现程序莫名的启动了图形界面,也就是说在某处真正的程序已经启动,自习查看,发现是某个“Call 内部”的函数启动了程序。哇,果然是没有明显的分界线。

因此,Ctrl+F2重启启动程序,再次到达上图位置,这次F8的时候更加小心,凡是遇到“Call sogou_pi.xxxxxxxx”的函数都按Enter跟踪(注意,如果是call系统函数,则应不管)。

终于,经过了5到7次的Call sogou_pi.xxxxxxxx,到达了这里,选中此行,按Enter(追随)。
 

追随到了地址0040552E,如图:
 

哇塞,居然被我找到了OEP,确实隐藏的很好。立刻脱壳试试,使用OD默认的脱壳插件脱壳,如图。
 

将文件保存为sogou_pinyin_50nx.exe,很好很好,用PEiD查查还有没有壳,这时出现了意外,我的卡巴出来说话了:
 

且不说我脱壳是否正确,居然在新文件中发现了木马,不知是卡巴太敏感还是搜狗够野心…

关掉卡巴,查看脱壳后的文件,虽然不能运行(估计是没有复制附加部分),但从外观上开还是没有什么问题的。
 

使用ImportREC(ImportREC 1.6)修复,IAT校验均通过,进行修复。
 

最后,使用PEiD查看,没有壳了…可惜不能运行,但是脱壳操作应该是成功了。意外的发现了搜狗安装程序的木马嫌疑。

新手操作,没有什么技术含量,希望大家交流指正;)

Made by RealZYC

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
收藏
免费 0
支持
分享
最新回复 (1)
exile
雪    币: 2105
活跃值: (424)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
杀毒说什么就是什么?
2011-2-28 16:39
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//