啊拉QQ大盗脱壳记,啊拉QQ大盗,脱壳,脱壳技术 2008年06月23日 星期一 下午 07:57 “啊拉QQ大盗”简单介绍,顾名思义,盗QQ的木马 脱壳对象主文件 “alaqq1.6B.exe.exe” 用PEID看看,Microsoft Visual C ,晕倒,怎么可能呢,难道还有QQ木马不加壳的?!怀疑是仙剑或者其他的伪装壳 没有什么说的,先看看 Ollydby载入之 提示“入口点位于代码外部”,确定 然后提示“快速统计说明程序经过加密压缩,*****”,点击否,反正再继续分析也是错误的 进入以后停在004AE000处 代码如下 004AE000 a> 55 push ebp 004AE001 8BEC mov ebp,esp 004AE003 6A FF push -1 004AE005 68 2A2C0A00 push 0A2C2A 004AE00A 68 38900D00 push 0D9038 向下拖动滚动条看看,发现如下语句 004AE02F FFE0 jmp eax 呵呵,,然后F8单步跟入 到了如下地址 004AB280 60 pushad 004AB281 BE 00C04600 mov esi,alaqq1_6.0046C000 004AB286 8DBE 0050F9FF lea edi,dword ptr ds:[esi FFF95> 004AB28C C787 C4300700 26F0>mov dword ptr ds:[edi 730C4],1B> 004AB296 57 push edi 往下面拖一拖滚动条,发现全是奇怪的转跳指令,呵呵,直接跟进的话会头晕的 我们直接向下找长转跳和变形长转跳 细心点往下面看 004AB3EB ^\E9 5489FCFF jmp alaqq1_6.00473D44 004AB3F0 08B44A 0018B44A or byte ptr ds:[edx ecx*2 4AB41> 004AB3F7 00C4 add ah,al 呵呵,这里就是一个可疑的转跳了,跳到OEP了,Magic Jump 把光标停在004AB3EB上面,F4运行到光标处,记录 JMP 后面的值 然后F8,进入真正的未加密程序了 然后就是“脱壳再当前进程” 再用Importres填入刚才保存的OEP=00473D44-00400000=00073D44修复输入表 再用PEID看看 PEID 显示 Nothing found * 但是壳已经确实被脱掉了 程序作者在木马里面做了手脚,把入口点处的编译器特征代码更改了,所以PEID不认识 收工! |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 17:25 , Processed in 0.161265 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.