- 1、本文档共15页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
逆向“恶搞锁机”程序
逆向“恶搞锁机”程序
1 背景
汇编语言学习了一段时间了,一直感觉没有正经的做点东西,可是一般的应用程序用汇编做起来又觉得没有太大的意思,正好一个网上的朋友发来个小程序,运行后会创建一个新账户,并设置了密码,并且将当前的windows账号注销,登录新创建的账户,从而达到让用户登录不了的目的,代码不大,索性反汇编一下,因为是新手练习,并没有学习过如何进行真正逆向,所以大家不要嘲笑思路不新颖,工具使用不熟练,权当入门的练手记录。
2 使用工具
运行环境:VMware Workstation 10.0.1
虚拟机上搭载的操作系统:Windows XP Service Pack 3
PE工具:PEiD 0.95
反汇编工具:IDAPro6.6
二进制编辑器:UltraEdit 21.30
3 目的
反汇编出恶意程序添加账号对应的密码,能够顺利登录进入到桌面。
4 逆向过程
4.1 观察运行现象
①首先运行虚拟机,进入到虚拟机操作系统桌面中,将恶意程序拷贝直桌面上。
②将虚拟机进行拍摄快照,这一步很重要,因为要比对运行恶意程序之前和之后的现象,可能需要反复比对,或是在调试时不小心运行了,有补救的机会,如果使用物理机进行反复的系统恢复,可能会麻烦的多。
③运行恶意程序,观察现象。
注:不是所有的恶意程序放在虚拟机中运行就万无一失。
发现原来的账户已经注销,登录账户变成了“是”,并且再使用原来的密码已经登录不上了,从表象上发现,这个程序就是让电脑的使用者在运行程序后,无法登录到系统中,知道了这个现象之后,就大约知道这个程序的本意是什么了。
通过快照功能将虚拟机程序恢复。
4.2 确认恶意程序的开发语言
运行PEiD 0.95工具,将恶意程序加载进去,发现改程序是由Microsoft Visual C++ v6.0进行开发的。
该工具不仅可以查看编程语言,还可以进行脱壳等工作,这次不做讲述。
4.3 反汇编过程
对于反汇编,本人虽然是刚刚尝试,但是总感觉, 如果不是将其所有功能进行还原的话,就不需要对所有的汇编代码都进行阅读,而是尽量的从现象和汇编代码上来了解其流程,进而推测其整个架构。
好了,以下只谈论针对该程序的分析思路。
将程序加载进IDA中,因为虚拟机的操作系统为32位的,该程序能够运行,所以肯定使用IDA的32位版本运行。
因为使用VC6.0开发的exe,并且能够在windowsXP上运行,所以文件结构选择PE。
反汇编成功后,可以看出函数的入口已经被反汇编出来了,为WinMain,可以判断出该程序应该为一个win32程序。这段程序很简单,就是进入函数入口后,将传入的参数hInstance、hPrevInstance、lpCmdLine、nShowCmd这四个参数再次压入栈中,然后再调用sub_45BC3D函数,压入栈的意思就是,将这几个参数再次作为sub_45BC3D函数的参数传入。调用完成后,返回,调用retn 10h,为什么是10h呢?这个问题需要顺便说下栈平衡,简单的说下,就是在函数调用的时候,会将参数压到栈中,esp指针会减小,当函数返回的时候,表示函数的调用完成,将esp的指针再回到函数调用之前的位置之上,这样才能使当前的函数在调用完其他函数后,还能够正确的使用当前栈中的内容。回到为什么是10h这个问题上,因为压栈的参数大小为10h,怎么算的呢,可以看到代码,
hInstance= dword ptr 4
hPrevInstance= dword ptr 8
lpCmdLine= dword ptr 0ch
nShowCmd= dword ptr 10h
所有参数的大小都是dword,也就是4字节,而总共4个参数,那么就是16个字节的大小,转换成16进制,就变成了10h,所以在函数调用结束后,需要用10h的大小来恢复栈。
好了,接着往下看代码,双击进入到sub_45BC3D 函数中。
又看到了一堆的代码,可以看到,调用了AfxGetThread()函数与AfxGetStaticModuleState(),调用了AfxWinInit()函数,然后还判断了AfxWinInit()函数的返回值,如果等于0时会跳到loc_45BC7D执行,如果不等于0跳到别处执行。好吧,这样一层层的看,肯定能把程序看的明白,找到添加的账户密码,可是这样的话,估计要花费点时间。
但是反汇编的时候尽量的多观察观察现象,然后推测下程序的写法,然后直接定位关键代码处,说不准能够达到事半功倍的效果。
还记得在运行恶意程序之后,会有两个DOS窗口弹出么?弹出完之后,当前的账户开始注销。
对就是这个对话框,当时的第一反应是,这个程序不会是应用程序调用DOS命令来执行
文档评论(0)