首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]一款盗号木马的分析
发表于: 2011-4-26 22:15 34477

[原创]一款盗号木马的分析

超然 活跃值
3
2011-4-26 22:15
34477

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (42)
willgeng
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
学习一下~  顶顶
2011-4-26 22:22
0
fireworld
雪    币: 185
活跃值: (477)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
学习下 盗号的原理能讲讲不?
2011-4-26 22:54
0
paulbaby
雪    币: 3800
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
不错,不错,看得多,技术都进步,很多没看见过的技术
2011-4-27 00:39
0
广海混沌
雪    币: 220
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
呵呵 留念一下 不错
2011-4-27 01:33
0
XPoy
雪    币: 242
活跃值: (473)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
私信
6
爆汗,这个应该是1年前了的样本吧?我还分析过的,想下把分析的结果回复下:

木马生成gamewidget.dll和midimap.dll,其中gamewidget.dll是被游戏主程序默认载入的一个DLL。midimap.dll是一个DLL劫持,比较有意思的是它利用的是IAT里的API名写成特殊的UpdatePerfNameFilesW=loadperf.UpdatePerfNameFilesW来实现DLL wapper的,非常简单有效。

木马访问的主要有二个页面
mail.asp 是发账号密码的url
mibao.asp 类似于心跳包的url

木马会HOOK gwCore.dll中的几个地址,分别截取用户和密码,角色的一些信息等。在截取角色信息的地方会访问包含mail.asp的URL,发送截取的账号过去。
还会持续不断的访问mibao.asp,测试发现返回0时不处理,返回1时木马会狠毒的把游戏给关掉。这样实现简单的控制
木马还会HOOK SDOA4ClientCom.dll中的几个地址,用来截取游戏的服务区的信息,木马通过读取游戏访问的服务器IP,并和http://patch.dn.sdo.com/sndalist/sndalist_new.xml 中的服务器名与IP对应关系获得服务器名。

忘了是不是这个样本的,木马会HOOK CreateThread,然后在CreateaThread里判断要创建的进程在哪个DLL空间里,它会把GPK的DLL所创建的第一个线程禁止掉直接返回-1。测试的结果是这个GPK的线程是检查游戏的模块是否被恶意修改,是则在游戏里会强制断开连接,这个是很有意思的功能。

不过有另一个很不错的样本,是通过硬件断点实现截取的,忘了它HOOK的哪儿,是线程创建时期的回调函数,在里面修改DRx实现硬件断点的,并且用xp新加入的VEH异常管理机制扑捉实现的HOOK,这样避过检测真的很有意思。

LZ分析最新的样本,应该把它怎么免杀的方法介绍一下啊,一般这个才重要的。 /:^]
2011-4-27 07:17
0
wgzthink
雪    币: 29
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
发送部分不重要,重要的是如何HOOK盗号部分
2011-4-27 10:52
0
asmvirus
雪    币: 87
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
学到不少东西
2011-4-27 10:59
0
wumingpeng
雪    币: 540
活跃值: (338)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
9
难怪你最近一直在找盗号木马拉,原来是要混精华啊.
2011-4-27 14:01
0
lnheart
雪    币: 777
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
盛大的游戏吗?
2011-4-27 14:57
0
超然
雪    币: 422
活跃值: (115)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
11
原理如6楼所说,关键在于HOOK了游戏的DLL以达到盗号的目的,最近研究了一些盗号木马主要是出于研究盗号的各种方式的目的,并不是为了分析某一个游戏具体的盗号方法,并没有安装游戏,所以无法深究。请见谅。
2011-4-27 14:58
0
超然
雪    币: 422
活跃值: (115)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
12
原因和结果弄反啦。
2011-4-27 15:00
0
雪yaojun
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
木马作者完全是玩阴的。技术应该不咋样。
2011-4-27 16:00
0
majinxin
雪    币: 163
活跃值: (75)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
14
6楼是亮点。。。
2011-4-27 18:23
0
ycmint
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
私信
15
如何  做的免杀的?
2011-4-27 18:25
0
北欧odin
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
这游戏我研究过  去年的事情了 ,,,总体来说比较好截取额 ,,, 还是以学习的目的
2011-4-28 05:17
0
网络游侠
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
17
其实原理没什么的,一种是Inline hook 关键代码段,另一种是挂钩该挂钩的地方,一键到位,另一种是逆出该逆的地方,然后Hook该Hook的地方的。就行了,至于怎么躲避AV,发挥所长,必有所成!

3个月前逆了一个小马,发现有自动踢人,自动交易,自动装备转存等功能,好强大哦!
2011-4-28 06:52
0
ahyanglf
雪    币: 223
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
支持下分享新技术。
2011-4-28 08:16
0
残影
雪    币: 200
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
啥东东。。。。
2011-4-28 11:45
0
PEBOSS
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
还有这等木马?
2011-4-28 14:35
0
xdklzy
雪    币: 208
活跃值: (148)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
21
这个马,我看着这么眼熟。特别是这几个地址。。。似乎。。。
hook盗号。根据某人的经验,应该是DLL劫持后,读取游戏进程空间。比如用户名,先在进程空间中,查找特征码,然后在此处hook,后面的事,,你懂的。。
至于免杀,我觉得主动防御不可能将所有的API都HOOK吧???可以利用一些比较偏的函数,这些函数在操作过程中,更像是你在手动操作,比如SHXXX系列的函数。。。

以上纯属个人遇见,别拍砖
2011-4-28 21:00
0
cqmib
雪    币: 226
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
学习一下,谢谢分享
2011-4-28 23:18
0
kechac
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
可惜呀,技术不够看不懂呀!   我要给力!
2011-4-29 01:17
0
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
24
哇噻,很彪悍啊。膜拜一下
2011-4-29 18:36
0
starmove
雪    币: 392
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
哈哈,看完了,思考思考。。
2011-4-29 19:38
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//