返回
对一款盗号木马的详细分析

对一款盗号木马的详细分析

ID:12322526

大小:18.25 KB

页数:6页

时间:2018-07-16

对一款盗号木马的详细分析_第1页
对一款盗号木马的详细分析_第2页
对一款盗号木马的详细分析_第3页
对一款盗号木马的详细分析_第4页
对一款盗号木马的详细分析_第5页
资源描述:

《对一款盗号木马的详细分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、对一款盗号木马的详细分析一、主程序流程分析:主程序名:ctfmon.exe(仿冒微软输入法配置程序)壳:无壳编写语言:汇编(估计)1.用GetLogicalDriveStringsAAPI获得所有系统盘符存放到一个字符串;2.读取自身文件尾部的0x1C4字节数据,并根据最后4字节的DWORD值,调用NEW函  一、主程序流程分析:主程序名:ctfmon.exe(仿冒微软输入法配置程序)壳:无壳编写语言:汇编(估计) 1.用GetLogicalDriveStringsAAPI获得所有系统盘符存放到一个字符串; 2.读取自身文件尾部的0x1C4字节数据,并根据最后4字节

2、的DWORD值,调用NEW函数申请内存(为0x2A00大小); 3.从自身文件距离尾部(0x1C4+0x2A00)字节处,读取0x2A00字节数据,存储到上面NEW出来的内存中; 4.关闭游戏主程序******nest.exe; 5.根据注册表项:SOFTWARE\snda\dn和SoftwareMicrosoftWindowsShellNoRoamMUICache找到游戏所在目录生成gamewidget.dll和midimap.dll,dll,内容为第3步中的数据写2001次,再加上文件尾部的0x1C4字节数据,共20.5MB(21,515,204字节

3、)(太大了-.-)。(因为我没有安装这个游戏,所以也没有这些注册表项目,实际当中我自己建了一个SOFTWARE\snda\dn注册表项,随便给了一个路径) 6.根据第1点里面得到的所有系统盘符字符串,用SearchTreeForFileAPI(盘符多,硬盘大的时候好慢啊),查找Dnlauncher.exe程序,找到了之后在该目录下创建gamewidget.dll和midimap.dll,因为没装游戏,我又伪造了一个Dnlauncher.exe(-.-) 7.本程序实现的自删除,会因机器是否安装有瑞星而有所不同。机器没有安装瑞星时是把自己移动到程序所在盘符的REC

4、YCLER文件夹中,并重命名成一个GetTickCount得到的数字+.tmp后缀名的文件。在XP系统上这个文件比桌面上的回收站目录高一级,所以点击桌面的回收站,里面会看不到这个文件。机器安装了瑞星则不做上述处理。最后会将此文件设为下次重启电脑时删除。 二、生成的DLL模块流程分析:1.上面所说的gamewidget.dll和midimap.dll,dll内容都是一样,虽然文件很大(重复写了太多次的结果),但内容还是用了UPX加壳了(UPX0.80-1.24DLL)。ESP定律简单脱壳,PEID再查一下为MicrosoftVisualC++6.0DLL。 2.该dl

5、l首先将系统目录(XP系统为WINDOWSsystem32)下的midimap.dll文件复制一份为lqmidimap.dll放到同一目录下,然后创建一个线程,接下来的工作都在此线程中完成。 3.进入线程后首先会创建一个互斥体对象防止线程多次运行,接下来比较主模块的模块名是否是“******Nest.exe”。如果不是则退出,如果是继续以下步骤。 4.读取自身文件最后0x1C4字节(这里就要注意脱壳后的文件最后的字节和脱壳前已经不一样了,为了调试方便可以把脱壳前文件的尾部数据添加到脱壳后dll中),进行几步相套的算法变换,将最后的0x1C4字节解密出来,解密出

6、来的数据如下: 10004C48687474703A2F2F68616861352E68616Fhttp://haha5.hao10004C5872656E3637382E636F6D3A383031312Fren678.com:8011/10004C6866656E2F716C6E6232302F6173646661fen/qlnb20/asdfa10004C7867617361736466677A7863762E617370gasasdfgzxcv.asp10004C8800000000000000000000000000000000..............

7、..10004C9800000000000000000000000000000000................10004CA800000000000000000000000000000000................10004CB800000000000000000000000000000000................10004CC8687474703A2F2F68616861352E68616Fhttp://haha5.hao10004CD872656E3637382E636F6D3A383031312Fren678.com:8011/10

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。