分析黑防光盘中QQ黑手.docVIP

分析黑防光盘中的QQ黑手 [原创]分析黑防光盘中的QQ黑手 文章标题:[原创]分析黑防光盘中的QQ黑手顶部 混世魔王 发布于:2006-07-3117:51 [楼主][原创]分析黑防光盘中的QQ黑手 文章作者：混世魔王QQ信息来源：邪恶八进制信息安全团队（） 注意：本文已经发表于《黑客防线》杂志骗钱，高手略过，有不足，还望指点。 看了《黑客防线》的官方通告，6期光盘的本月强档栏目中，动网漏洞利用动画所附带的工具会使杀毒软件报警，提示为Trojan-PSW.Win32.QQShou.ed。一想，我老魔算黑的了，居然还有比我更黑的。看来是青出于蓝……于是把这个恶意程序分析了一下，算是给自己增强手动超作的经验，也帮中了马的朋友们，把他清理的干干净净。 先PEID查壳，UPX0.89.6-1.02/1.05-1.24-MarkusLaszlo[Overlay]，网上n多脱壳机，我这就不去DOWN，直接用PEID的UPXFILEINFO的插件，就可以轻松的获得UPX加壳程序的OEP。 这里OEP为：4056D8直接OD载入.F4，到4056D8把他DOWN出来。脱壳就完毕了.再用PEID一查，BorlandDelphi6.0-7.0，脱壳后，是否修复就随便你了。反正我们又不运行。 用OD载入脱壳后的程序，来分析吧。50 PUSHEAXE871FCFFFF CALLJMP.kernel32.GetSystemDirectoryA//返回WINDOWS系统目录路径 0040493B 85C0 TESTEAX,EAX 0040493D 7507 JNZSHORT20040493F C68500FFFFFF4MOVBYTEPTRSS:[EBP-100],438A8500FFFFFF MOVAL,BYTEPTRSS:[EBP-100] 0040494C 50 PUSHEAX 0040494D E8E2FCFFFF CALLJMP.USER32.IsCharAlphaA //确定字符串是否是字母83F801 CMPEAX,11BC0 SBBEAX,EAX40 INCEAX84C0 TESTAL,AL 0040495A 7507 JNZSHORT20040495C C68500FFFFFF4MOVBYTEPTRSS:[EBP-100],43 //这里的Hex(43)=Char(C)C盘拉~~8D85FCFEFFFF LEAEAX,DWORDPTRSS:[EBP-104]8A9500FFFFFF MOVDL,BYTEPTRSS:[EBP-100] 0040496F E8CCEDFFFF CALL200404974 8B95FCFEFFFF MOVEDX,DWORDPTRSS:[EBP-104] 0040497A 8BC3 MOVEAX,EBX 0040497C B9B4494000 MOVECX,2.004049B4 ;:\programfiles\internetexplorer\plugins\E82EEEFFFF CALL2.004037B433C0 XOREAX,EAX5A POPEDX59 POPECX 0040498A 59 POPECX 程序运行后，首先会在系统目录建立文件，路径是： C:\ProgramFiles\InternetExplorer\PLUGINS\ 来到这个地方，你就会发现多了一个文件bow.sys动态链接库和bow.bak两个文件，怎么判断是木马生成的，你注意看看文件的生成Ri期就会发现。 要注意的是这个文件是隐藏的，必需显示所有文件才能看得到。 我们OD，来看看bow.sys文件的内容， 003E4E1A|.50 PUSHEAX /pDisposition 003E4E1B|.8D442404 LEAEAX,DWORDPTRSS:[ESP+4] ;| 003E4E1F|.50 PUSHEAX ;|pHandle 003E4E20|.6A00 PUSH0 ;|pSecurity=NULL 003E4E22|.683F000F00 PUSH0F003F ;|Access=KEY_ALL_ACCESS 003E4E27|.6A00 PUSH0 ;|Opti