能力值:
![]()
(RANK:990 )
|
-
-
2 楼
最初由 rufang 发布
这两个是加花的,用PEID查壳显示
VC 6.0,哪位能帮脱花
QQ 371367
........
两个都是木马,请大家不要下载。
|
能力值:
![]()
(RANK:990 )
|
-
-
3 楼
看了一下你两个文件中的那个server.exe:
先 bp VirtualAlloc,断下后取消断点,再 BP VirtualProtect,断下后取消断点:
7C801AD0 > 8BFF MOV EDI,EDI ; 断在这里
7C801AD2 55 PUSH EBP
7C801AD3 8BEC MOV EBP,ESP
现在按ALT+F9返回:
0040731C FF75 DC PUSH DWORD PTR SS:[EBP-24]
0040731F FF75 D8 PUSH DWORD PTR SS:[EBP-28]
00407322 FF55 D4 CALL DWORD PTR SS:[EBP-2C]
00407325 83C6 28 ADD ESI,28 ; 返回到这
00407328 FF4D EC DEC DWORD PTR SS:[EBP-14]
0040732B ^ 75 DC JNZ SHORT server.00407309
0040732D 8B47 28 MOV EAX,DWORD PTR DS:[EDI+28]
00407330 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8]
00407333 8B4B 04 MOV ECX,DWORD PTR DS:[EBX+4]
00407336 03C2 ADD EAX,EDX
00407338 85C9 TEST ECX,ECX
0040733A 74 06 JE SHORT server.00407342
0040733C 8991 44010000 MOV DWORD PTR DS:[ECX+144],EDX
00407342 FF73 04 PUSH DWORD PTR DS:[EBX+4]
00407345 6A 01 PUSH 1
00407347 52 PUSH EDX ; 直接在这里按F4
00407348 FFD0 CALL EAX ; 这里是关键
在 00407347 处的那条指令上按F4,再按F7跟进 00407348 处的那个CALL:
1000F820 807C24 08 01 CMP BYTE PTR SS:[ESP+8],1 ; 到这里
1000F825 0F85 86010000 JNZ 1000F9B1
1000F82B 60 PUSHAD
1000F82C BE 00A00010 MOV ESI,1000A000 ; 压缩壳,F8到这时命令行中输入hr esp,按回车键
1000F831 8DBE 0070FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF7000]
1000F837 57 PUSH EDI
1000F838 83CD FF OR EBP,FFFFFFFF
1000F83B EB 0D JMP SHORT 1000F84A
在ESP上设好硬件断点后按F9,会断在这里:
1000F9AE ^\EB E2 JMP SHORT 1000F992
1000F9B0 61 POPAD
1000F9B1 ^ E9 1644FFFF JMP 10003DCC ; F9到这,跳到OEP
1000F9B6 0000 ADD BYTE PTR DS:[EAX],AL
F8一下,到OEP:
10003DCC 55 PUSH EBP ; OEP
10003DCD 8BEC MOV EBP,ESP
10003DCF 8B4D 10 MOV ECX,DWORD PTR SS:[EBP+10]
10003DD2 C705 D4AA0010 D>MOV DWORD PTR DS:[1000AAD4],100012DC
10003DDC 890D D8AA0010 MOV DWORD PTR DS:[1000AAD8],ECX
10003DE2 83B9 F8090000 0>CMP DWORD PTR DS:[ECX+9F8],0
10003DE9 8D81 F8090000 LEA EAX,DWORD PTR DS:[ECX+9F8]
10003DEF 75 07 JNZ SHORT 10003DF8
10003DF1 E8 5EE7FFFF CALL 10002554
10003DF6 EB 2C JMP SHORT 10003E24
10003DF8 8338 01 CMP DWORD PTR DS:[EAX],1
10003DFB B8 1F2D0010 MOV EAX,10002D1F
10003E00 74 05 JE SHORT 10003E07
10003E02 B8 49470010 MOV EAX,10004749
10003E07 8D55 10 LEA EDX,DWORD PTR SS:[EBP+10]
10003E0A 52 PUSH EDX
10003E0B 6A 00 PUSH 0
10003E0D 51 PUSH ECX
10003E0E 50 PUSH EAX
10003E0F 6A 00 PUSH 0
10003E11 6A 00 PUSH 0
10003E13 FF15 E8100010 CALL DWORD PTR DS:[100010E8] ; kernel32.CreateThread
10003E19 85C0 TEST EAX,EAX
10003E1B 74 07 JE SHORT 10003E24
10003E1D 50 PUSH EAX
10003E1E FF15 74110010 CALL DWORD PTR DS:[10001174] ; kernel32.CloseHandle
我贴上面的代码不是想说怎么脱这个壳,我只想楼主解释一下我看到的东西:
1、经过调试,这个server.exe是个“Bifrost Remote Controller”的服务端。不过这东西不像个正经的远程控制软件。
2、我在里面看到了这样的东西:“rufang.3322.org”,说明什么?
帖子解锁,等楼主解释。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
呵呵,还用说 ,司马照之心,地球人都知道~~~ 
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
我晕,幸亏有高手,要不就中了!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
还好没下啊。。。要不中马勒。
|
能力值:
( LV9,RANK:330 )
|
-
-
7 楼
楼主真。。。。。。。
|
能力值:
( LV9,RANK:1250 )
|
-
-
8 楼
太大胆了,木马都贴到这里了,我看它不敢来说清的。
|
能力值:
( LV9,RANK:650 )
|
-
-
9 楼
[QUOTE=CCDebuger;291581] 两个都是木马,请大家不要下载。[/QUOTE]
火眼睛 
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
做人做成这样真失败!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
应按版规处理
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
杀吧......
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
居然在这里耍
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
马~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
 真的么?
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
郁闷的人,封他的号
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
汗,我现在在学一些中等 级的壳,好难脱
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
昏!这也能放上去下!大家别下!
|
