网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 木马 > 木马防御 > 文章  
黑手揭秘:与BT下载的捆马者来一番较量
文章来源: anqn 文章作者: lynn 发布时间: 2006-09-12   字体: [ ]
 

  对捆马者的分析--脱壳--揭开骗局--学习他的技术

  现在的时代。。捆马成风,什么东西里都捆马,五花八门的方式都出来了。。就连一个游戏也要捆马。我在BT之家看到场了一个 抢滩登陆2006 就他的介绍看来是不错的,捆马的人自己敢声称:经kv2005把关无毒,说明他对自己的免杀的功力是很有自信的,下面,就让我们来一步步的揭开他的骗局下载得到抢滩登陆2006.exe 如图片所显示,的确kv2006下提示无毒,用瑞星金山全部提示无毒,用PEID检查为看上去没有问题,但是一个安装包怎么可能是Microsoft Visual C++ 6.0?下面这张图片一个安装包竟然要用vmprotect处理?这是为什么?要免杀吗?这就更加怀疑了。。

  下面开始和捆马者正面较量!

  我开始把他想简单了,以为可以直接用安装包解开工具直接处理,没想到的是我的所有安装包解开工具都提示无法解开,原因我想应该是vmprotect改变了文件的一些结构,从而无法识别的,好的,我们来简单的,直接运行安装包,不过要先记得拔掉网线!!

  这里提供一个好工具icesword 1.18 利用icesword 1.18的线程监控功能,我们可以轻易的发现马的一切动作;

  要,我们运行他,什么也不要再点,直接来看就是这个图片,2006.exe就是安装包主文件,仔细看好了,2006.exe启动了一个2.tmp和3.tmp,然后就创建了awaress.cn文件,进而,awaress.cn创建了iexplorer.exe这个东西看起来象个网站,其实就是鸽子的主体文件,下面我们把他检测一下。。这个图片是virustotal的检测结果,我们可以看到,这个家伙用了nspack pe_patch两个加壳工具不过ewido/卡巴还是能查杀他

  木马已经进入了系统,下面我们把他抓出来,看看服务:瞧,和他的主文件名一样,在看看文件 这个文件就是他释放出的马了,结合icesword 可以看见红色的iexplorer.exe,即为木马的进程。木马已经抓出来了,下面就是对他处理处理。可以抓到后台的捆马的人,找出他的IP,然后嘛,拿出我们的强力攻击工具搞死他。。哈哈我个人习惯把文件改成DLL,这样一来可以防止误运行,又可以被PE工具检测,我们可以看到,是nspcak的加可,可以进一步确认为NsPacK V3.7 -> LiuXingPing *的

  为了能够反向抓出捆马的人,我们首先来脱壳,用Ollydbg加在使用ESP定理,在0012ffc0上下memory access端点,我们回来到这里难道脱壳没有成功?不,这个捆马着加了两次NSPACK,同样的方法,我们解决问题,回来到这里这里是捆马的家伙自己写的花指令,一路跟踪下去。。我们最终回到达以下地方 从这里开始,所有的壳已经被解开开,我们看看下图 作者还写好了Ultra String Reference,项目 864

  Address=004A2ED7

  Disassembly=push Awarenes.004A2FD6

  Text String=雨花石专版服务端安装成功!哈哈,名字就在这里,我们等会再去看看,先解决反向连接的IP,我们来到这里

  堆栈 ss:[0012FF70]=00E63874

  edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171

  DD743F967A806141107A05DFE0AD79C0D311361503EE75A3AC2CC096919

  737A72F340252EF6F00377CC910B5A0F41243C773D542B3D61227F040B2EC6885484

  641D47B329E19EDFB40FE692E8DA4EE8D99158E7D2230BA5DE94B7D6FB)

  堆栈 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn")

  edx=00000000

  堆栈 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb")

  edx=00000000

  堆栈 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn")

  edx=00000000

 
推荐文章
·木马免杀技术大盘点与杀毒软件设
·拒绝不速之客入侵 拆穿木马伪装
 

 
共2页: 上一页 1 [2] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·查杀木马: Trojan-spy.w
·“灰鸽子”病毒手工清除
·拒绝不速之客入侵 拆穿
·菜鸟享福 常见木马病毒
·木马免杀技术大盘点与杀
·最新威胁“灰鸽子2005”
·ASP木马Webshell的安全
·系统安全基础之饿死木马
相关分类
相关文章
·菜鸟享福 常见木马病毒
·拒绝不速之客入侵 拆穿
·下一件安全大事:加强防
·勒索软件正成为2006年最
·黑客终极案例之黑神五法
·木马综述篇:通通透透看
·木马病毒发展史
·“灰鸽子”病毒手工清除
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $