返回列表 发帖

[讨论]一款盗wow的木马 加了一个难壳怎么脱?

[讨论]一款盗wow的木马 加了一个难壳怎么脱?
议题作者:刘的林
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

一款盗wow的木马,加了一个壳,怎么脱?peid能查出来。但我不会用od。。

那个木马已经在附件里,各位帮忙看下。我用我朋友的号玩wow来。。结果号被盗了。
那哥们现在也不给我说话了。。谁能帮忙反编译出来?里面应该会记录 盗号者的帐号和密码。。
http://www.topwow1.cn/wowshell.htm
这个是在那个网站上下的。。我一时疏忽。。被日了。首页没有病毒。。但是附件里有捆绑的病毒..
就当帮帮我吧。。
我qq 277364744;
手机:13793248683;
附件
sqmapi32.dll.rar (4 KB)

2007-11-3 04:24, 下载次数: 29
插件ωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..

帖子36 精华0 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 查看个人网站
查看详细资料TOP 爱要怎么说出口

cnhawk
晶莹剔透§烈日灼然

用od跟踪了半天可是我不怎么会用那个东西。。。没有什么实际的内容。。
麻烦各位大虾们。。找些很有用的信息比如。。把帐号密码等信息发到什么网站去。
真能把那个网站给搞出来。。我拼了也要日了它~
说话不方便的话就加我的qq吧ωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..

帖子36 精华0 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 查看个人网站
查看详细资料TOP

fhod
运维管理组

TOP

哈哈真的谢谢你们了。。虽然看不懂
od。。
这个东西似乎还连接一个病毒网站 叫xixi什么的。。一口气下N个病毒...
等几天有时间了 日。那个网站..
这个盗号程序感觉是用asp来传输密码的。。用email感觉不太可能ωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..

帖子36 精华0 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

刘的林
晶莹剔透§烈日灼然

TOP

连接的那个病毒网站
https://forum.eviloctal.com/read-htm-tid-31063.html 帖子里的网站差不多。。加密的方式也是一样的ωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..

帖子36 精华0 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

刘的林
晶莹剔透§烈日灼然

TOP

召唤强人把壳脱了找到收信地址,本人无偿启用当年写的智能破箱子程序帮楼主破箱子拿ID。 很好.
帖子660 精华4 积分5585 阅读权限100 性别男 在线时间247 小时 注册时间2005-9-2 最后登录2007-12-4 查看详细资料TOP

麦田的怪
荣誉会员

TOP

用超级巡警的脱壳机脱了。
给楼主传上来。
附件
sqmapi32.dll_unpacked.rar (12 KB)
2007-11-14 15:26, 下载次数: 29
帖子23 精华2 积分3127 阅读权限100 在线时间28 小时 注册时间2006-4-28 最后登录2008-7-17 查看详细资料TOP 少女暴富的隐秘(图)

刘的林
晶莹剔透§烈日灼然

TOP

超级巡警的脱壳就支持这个脱壳
我脱了
可是我传不了
帖子24 精华0 积分79 阅读权限40 在线时间60 小时 注册时间2004-12-31 最后登录2008-7-1 查看详细资料TOP 软件项目外包

achillis
晶莹剔透§烈日灼然

TOP

PEID查好像是Upack,但是跟踪的结果不像.
下面是跟踪的部分结果.
好像加壳了,但是从实际跟踪过程来看,好像是伪装壳.
call sub_10002200这个call没有任何意义,纯属花指令
然后Sleep(1)->GetTickCount()->sub_10002200()好像没什么意义.
继续跟
GetSystemDirectory(path,MAX_PATH)得到系统目录
strcat(path,"kernel32.dll"),得到C:\WINDOWS\system32\kernel32.dll
接下来竟然DeleteFile(path),要删系统文件?当然是删不掉
GetLastError()  cmp eax,5?
GetModuleFileName(NULL,hostpath,MAX_PATH)
strrchr(hostpath, '\\')
得到最后一个名字,这个就是宿主程序名.
我用OD,就是LOADDLL.EXE
hostname为宿主程序名
stricmp(hostname,"svchost.exe");
这里当然不一样,继续比较
stricmp(hostname,"alg.exe");
构造字符串"SeDebugPrivilege",想提升权限了,有野心
构造字符串"Explorer.exe",
stricmp(hostname,"Explorer.exe");若不跳则开启线程CreateThread(),ThreadProc=sub_10001A45
若跳则:  GetModuleFileName(hModule,dllpath,MAX_PATH)
  CreateToolhelp32Snapshot()->Process32First()
  比较进程名是否为Explorer.exe
  不是则继续Process32Next()
  若是则新CreateToolhelp32Snapshot()->Module32First()
  比较模块名是否为sqmapi32.dll
  是则返回1;不是则返回0
若返回0.则提升进程权限OpenProcess()->LookupPrivilige->AdjustProcessToken()
加载dllpath,并加载qdshm.dll和mszs.dll
线程函数里面会查找以下dll是否存在,有则加载
ALLatl.dll
Z_Tatl.dll
MHatl.dll
DHatl.dll
FYatl.dll
HXatl.dll
MSatl.dll
MYatl.dll
QJatl.dll
TLatl.dll
TXatl.dll
WMatl.dll
GJatl.dll
WLatl.dll
ZXatl.dll
WDatl.dll
QQHXatl.dll
DTHXatl.dll
CHDatl.dll
CQatl.dll
EVEatl.dll
JZatl.dll
BFatl.dll
WMTWatl.dll
QQSGatl.dll
CQSJatl.dll
GEatl.dll
PTYJatl.dll
XWTWatl.dll
QQatl.dll
RXJHatl.dll
SHQZatl.dll
DH3atl.dll
DJatl.dll
LRTWatl.dll
GZGDatl.dll
ZHatl.dll
YT2atl.dll
GFSJatl.dll
JRatl.dll学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料TOP 赚更多的钱

bink
荣誉会员

TOP

返回列表