朋友今天发这个程序过来叫我帮忙找注册码,说没有注册码用不了,我自己跟了一下,发现有些不妥
首先,f7来到下面的地方
00461119 FC cld ; (initial cpu selection)
0046111A DBE3 finit
到这里就可以用插件查找相关字符串了,会找到一处
00460191 E8 E90F0000 call 0046117F ;算法call
00460196 83C4 28 add esp, 28
00460199 8945 E8 mov [ebp-18], eax ; eax=正确的注册码
注册码非常的长,要D一下才可以完全看到。。。。
一直都比较堕落了,所以没有跟踪算法,但是习惯的上下翻了翻OD。。。看到下面的代码
00460315 68 A3664100 push 004166A3 ; \temp.dat
0046031A FF75 FC push dword ptr [ebp-4] ; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
0046031D B9 02000000 mov ecx, 2
00460322 E8 1AEBFFFF call 0045EE41
00460327 83C4 08 add esp, 8
0046032A 8945 F8 mov [ebp-8], eax ; eax=01AD0048, (ASCII "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\\temp.dat")
0046032D 8B5D FC mov ebx, [ebp-4]
用记事本打开这个temp.dat发见是MZ开头的,于是把后缀改称.exe,用OD载入
004AD009 >- E9 A4D70300 jmp 004EA7B2 //程序入口,有壳了
004AD00E 0800 or [eax], al
004AD010 0100 add [eax], eax
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
0048BAC4 55 push ebp //到这里dump
0048BAC5 8BEC mov ebp, esp
0048BAC7 B9 05000000 mov ecx, 5
0048BACC 6A 00 push 0
0048BACE 6A 00 push 0
0048BAD0 49 dec ecx
又习惯的用OD打开dump后的文件,上下看了看,不看不知道,一看结果冒出一身冷汗!!!
0048BD6B . 6A 40 push 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
0048BD6D . 68 28BE4800 push 0048BE28 ; |提示
0048BD72 . 68 30BE4800 push 0048BE30 ; |远程管理软件灰鸽子服务端安装成功!
0048BD77 . 6A 00 push 0 ; |hOwner = NULL
0048BD79 . E8 9AB9F7FF call <jmp.&user32.MessageBoxA> ; \MessageBoxA
还有一些非常敏感的字符串,估计是中灰鸽子的可能性有100%
下面是粗跟的结果,因为现在装了一键还原,中病毒之后非常的方便,呵呵,直接还原
程序把自身复制到C:\Program Files\Hver\terver1.0
注入IE或者EXPLORER
创建了Cryptograic Servers服务
这个程序叫做邪神系列网马,强烈的鄙视一下先,一点黑客精神都没有!
我把它上传到刚申请的网络硬盘上
http://free.ys168.com/?crackman
[
本帖最后由 大马哈鱼 于 2007-4-28 12:13 编辑 ]
