|
|
【破解过程】首先PEiD上场查出为UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]壳.ESP快速解决
继续OD上场,查找下字符串看看吧,一查还真发现了.里面有注册表的路径.那就进下下段吧.省得慢慢跟.
>>>>>>>>>>>>>>>>>进来后如下这里应该是判断自身路径.继续慢慢跟.<<<<<<<<<<<<<<<<<<<<
004****1070 /$ 81EC 0C02***00 sub esp, 20C
004****1076 |. 8D4424 04 lea eax, dword ptr [esp+4]
00***07A |. 53 push ebx
00***07B |. 56 push esi
00***07C |. 57 push edi
00***07D |. 68 040****0000 push 104 ; /BufSize = 104 (260.)
004****1082 |. 50 push eax ; |Buffer
004****1083 |. FF15 406****4000 call dword ptr [<&kernel32.GetSystemD>; \GetSystemDirectoryA
004****1089 |. BF B47***00 mov edi, 00***70B4 ; ASCII "\mstscs.exe"
00***08E |. 83C9 FF or ecx, FFFFFFFF
004****1091 |. 33C0 xor eax, eax
004****1093 |. 8D5424 10 lea edx, dword ptr [esp+10]
004****1097 |. F2:AE repne scas byte ptr es:[edi]
004****1099 |. F7D1 not ecx
00***09B |. 2BF9 sub edi, ecx
>>>>>>>>>>>如下应该是对注册表的检测是否有了.没有写写入<<<<<<<<<<<<
00***10D2 |. 8D9424 18***00>lea edx, dword ptr [esp+118] ; |
00***10D9 |. 51 push ecx ; |NewFileName
00***10DA |. 52 push edx ; |ExistingFileName
00***10DB |. FF15 686****4000 call dword ptr [<&kernel32.CopyFileA>>; \CopyFileA
00***10E1 |. 8D4424 0C lea eax, dword ptr [esp+C]
00***10E5 |. 50 push eax ; /pHandle
00***10E6 |. 68 747****4000 push 004****7074 ; |Subkey = "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
00***10EB |. 68 020****0080 push 800****0002 ; |hKey = HKEY_LOCAL_MACHINE
00***10F0 |. FF15 086****4000 call dword ptr [<&advapi32.RegCreateK>; \RegCreateKeyA
00***10F6 |. 8B35 0C60***00 mov esi, dword ptr [<&advapi32.RegSe>; advapi32.RegSetValueExA
00***10FC |. 8B3D 6C60***00 mov edi, dword ptr [<&kernel32.lstrl>; kernel32.lstrlenA
004****1102 |. 8B1D 106****4000 mov ebx, dword ptr [<&advapi32.RegCl>; advapi32.RegCloseKey
004****1108 |. 85C0 test eax, eax
00***10A |. 75 24 jnz short 004****1130
00***10C |. 8D4C24 10 lea ecx, dword ptr [esp+10]
004****1110 |. 51 push ecx ; /String
004****1111 |. FFD7 call edi ; \lstrlenA
004****1113 |. 8D5424 10 lea edx, dword ptr [esp+10]
>>>>>>>>>>>>>>>>>>>>>>开始写了发现项名字<<<<<<<<<<<<<<<<<<<<<<<
004****1117 |. 50 push eax ; /BufSize
004****1118 |. 8B4424 10 mov eax, dword ptr [esp+10] ; |
00***11C |. 52 push edx ; |Buffer
00***11D |. 6A 01 push 1 ; |ValueType = REG_SZ
00***11F |. 6A 00 push 0 ; |Reserved = 0
004****1121 |. 68 687****4000 push 004****7068 ; |ValueName = "IAMAPP32"
004****1126 |. 50 push eax ; |hKey
004****1127 |. FFD6 call esi ; \RegSetValueExA
004****1129 |. 8B4C24 0C mov ecx, dword ptr [esp+C]
00***12D |. 51 push ecx ; /hKey
00***12E |. FFD3 call ebx ; \RegCloseKey
004****1130 |> 8D5424 0C lea edx, dword ptr [esp+C]
>>>>>>>>>>>>>>>>>>>写也写了屁股也擦了居然又写了一处,和上处一样手段<<<<<<<<<<<<<<<<<<<<
004****1130 |> \8D5424 0C lea edx, dword ptr [esp+C]
004****1134 |. 52 push edx ; /pHandle
004****1135 |. 68 387****4000 push 004****7038 ; |Subkey = "Software\Microsoft\Windows\CurrentVersion\Run"
00***13A |. 68 020****0080 push 800****0002 ; |hKey = HKEY_LOCAL_MACHINE
00***13F |. FF15 146****4000 call dword ptr [<&advapi32.RegOpenKey>; \RegOpenKeyA
004****1145 |. 85C0 test eax, eax
004****1147 |. 75 24 jnz short 00***16D
004****1149 |. 8D4424 10 lea eax, dword ptr [esp+10]
00***14D |. 50 push eax
00***14E |. FFD7 call edi
004****1150 |. 8B5424 0C mov edx, dword ptr [esp+C]
004****1154 |. 8D4C24 10 lea ecx, dword ptr [esp+10]
004****1158 |. 50 push eax
之后就一个retn返回了.继续跟了几步发现一个DLL文件出现.
看来木马功夫都下在DLL上了.EXE是个托.之后就把DLL文件插入进程.随之结束.
DLL文件的事就是攻击的时候发挥作用..还有就是插了进程对系统会导致不稳定..
------------------------------------------------------------------------
【破解总结】写注册表达到自启动,在系统目录生成一个mstscex.dll文件和mstscs.exe文件.
自定义插进程.
清除方法将注册表和系统目录里的文件删除即可..
第一次对木马做分析不知道分析的对不.希望大牛指点. |
|
发表于 2009-4-18 09:21:34