易语言QQ钓鱼程序简单分析
2017-05-23 15:36
246 查看
水平有限 请轻喷.
这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.
其实我也没用过易语言,但在我看来(可能是我水平不高看不出来) 病毒内部循环繁杂无章,启动较慢...
简单差了一下程序没有加壳
病毒很简单没加壳,这也是我第一次分析易语言. 没有什么特别的技巧,OD载入跟随.
具体过程很简单F8如果程序跑起来就断点,跟进去. 繁杂的过程就不写了,没什么意思
下面来看看几个比较有意思的地方
发现setwindowspos函数发现这里有一个循环.果断下断点
第一次到这个函数,出现这样的选项
看到这里窗口句柄居然有一串中文 觉得很可能是一个模板木马生成的东西.
中共运行8次之后才跑过此段点,8个窗口? 想做什么?.
继续跟进,里面循环函数实在太多, 估计是作者为我们设置的障碍什么的,果断放弃了继续跟随.直接让程序跑起来.
随便输入一个账户和密码,发现会弹出一个MessageBox 消息框.
返回OD CTRL+N找到MessagBox下断点.
然后重新来一次.. 在此画个圈圈诅咒作者把程序写的这么慢,让我等好久.
果然在此处断了下来,
然后ctrl+k 显示堆栈调用
进入上面这个地址,就是他调用的messagbox
然后往上看,发现还是一个被调用的函数..
再看看堆栈窗口
进去一看发现了很多惊喜
这么多jmp 我觉得点登陆 必有一中! 全部下断点 额上面注释我懒得抹了,各位看官请忽略.....
再次重新载入一次, 再次诅咒下作者程序跑的这么慢
输入密码点登陆 果然断下 然后跟进,但并没到达目的地. 不过我相信胜利的曙光一定在我前面!
正常人应该不会写成不点登陆就把密码发出去吧```````````
然后继续苦逼的跟进,,,直到这里
感觉关键的地方来了
打开IDA g 输入 00460060 然后F5查看源代码 这个地址,为什么这关键呢, 看下面 函数很长我就截取一部分了
第一眼看见 HttpSendRequestA 我就乐开了花, 哈哈即使不懂这个API 看这个字面意思也懂了.
CTRL+N
这三个API下断点,然后运行
另外 在00461960函数内 还有smtp发送邮件方式 不过并没有调用
在IDA里向上跟跟看
通过这种方法一次向上寻找地址然后OD里下段点. 均无一处断下
下面试试添加yara规则,然后扫描.. 很好用的一个东西
好了 这就完了, 接触逆向时间不长,水平有限, 欢迎指点.
样本解压密码
这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.
其实我也没用过易语言,但在我看来(可能是我水平不高看不出来) 病毒内部循环繁杂无章,启动较慢...
简单差了一下程序没有加壳
病毒很简单没加壳,这也是我第一次分析易语言. 没有什么特别的技巧,OD载入跟随.
具体过程很简单F8如果程序跑起来就断点,跟进去. 繁杂的过程就不写了,没什么意思
下面来看看几个比较有意思的地方
发现setwindowspos函数发现这里有一个循环.果断下断点
第一次到这个函数,出现这样的选项
看到这里窗口句柄居然有一串中文 觉得很可能是一个模板木马生成的东西.
中共运行8次之后才跑过此段点,8个窗口? 想做什么?.
继续跟进,里面循环函数实在太多, 估计是作者为我们设置的障碍什么的,果断放弃了继续跟随.直接让程序跑起来.
随便输入一个账户和密码,发现会弹出一个MessageBox 消息框.
返回OD CTRL+N找到MessagBox下断点.
然后重新来一次.. 在此画个圈圈诅咒作者把程序写的这么慢,让我等好久.
果然在此处断了下来,
然后ctrl+k 显示堆栈调用
进入上面这个地址,就是他调用的messagbox
然后往上看,发现还是一个被调用的函数..
再看看堆栈窗口
进去一看发现了很多惊喜
这么多jmp 我觉得点登陆 必有一中! 全部下断点 额上面注释我懒得抹了,各位看官请忽略.....
再次重新载入一次, 再次诅咒下作者程序跑的这么慢
输入密码点登陆 果然断下 然后跟进,但并没到达目的地. 不过我相信胜利的曙光一定在我前面!
正常人应该不会写成不点登陆就把密码发出去吧```````````
然后继续苦逼的跟进,,,直到这里
感觉关键的地方来了
打开IDA g 输入 00460060 然后F5查看源代码 这个地址,为什么这关键呢, 看下面 函数很长我就截取一部分了
第一眼看见 HttpSendRequestA 我就乐开了花, 哈哈即使不懂这个API 看这个字面意思也懂了.
CTRL+N
这三个API下断点,然后运行
另外 在00461960函数内 还有smtp发送邮件方式 不过并没有调用
在IDA里向上跟跟看
通过这种方法一次向上寻找地址然后OD里下段点. 均无一处断下
下面试试添加yara规则,然后扫描.. 很好用的一个东西
好了 这就完了, 接触逆向时间不长,水平有限, 欢迎指点.
样本解压密码
相关文章推荐
- QQ钓鱼简单分析
- 创造新语言(2)——用Lex&Yacc构建简单的分析程序
- 看!我写的关于“简单异或”加密的破解分析演示程序!
- 汇编语言编写方法及程序分析
- 30秒自制简单程序,和任意QQ号码聊天
- Qq2007 正式版 登录协议分析之发报程序C#版本
- Winform程序多语言国际化实现的简单方法
- 一个小语言的词法分析程序原理及其实现(2)
- [《网络渗透技术》学习笔记(1)]——Windows平台上一个最简单溢出程序的调试分析--漫步阳光的BLOG
- 简单聊天程序分析
- 用c#实现类似QQ的简单通讯程序
- 用C++编写简单绘图语言的词法分析器——程序清单
- 利用汇编语言开发盗QQ密码程序
- PL/0语言编译程序分析
- Python源码分析2 - 一个简单的Python程序的执行
- 用c#实现类似QQ的简单通讯程序
- 利用汇编语言开发盗QQ密码程序
- 编译原理课程设计---用java写的SNLCompiler(简单嵌套语言SNL的编译程序)
- 用c#实现类似QQ的简单通讯程序
- PL/0语言编译程序分析