您的位置:“啊拉QQ大盗”简单介绍,顾名思义,盗QQ的木马
脱壳对象主文件 “alaqq1.6B.exe.exe”
用PEID看看,Microsoft Visual C++,晕倒,怎么可能呢,难道还有QQ木马不加壳的?!怀疑是仙剑或者其他的伪装壳
没有什么说的,先看看
Ollydby载入之
提示“入口点位于代码外部”,确定
然后提示“快速统计说明程序经过加密压缩,*****”,点击否,反正再继续分析也是错误的
进入以后停在004AE000处
代码如下
004AE000 a> 55 push ebp
004AE001 8BEC mov ebp,esp
004AE003 6A FF push -1
004AE005 68 2A2C0A00 push 0A2C2A
004AE00A 68 38900D00 push 0D9038
向下拖动滚动条看看,发现如下语句
004AE02F FFE0 jmp eax
呵呵,,然后F8单步跟入
到了如下地址
004AB280 60 pushad
004AB281 BE 00C04600 mov esi,alaqq1_6.0046C000
004AB286 8DBE 0050F9FF lea edi,dword ptr ds:[esi+FFF95>
004AB28C C787 C4300700 26F0>mov dword ptr ds:[edi+730C4],1B>
004AB296 57 push edi
往下面拖一拖滚动条,发现全是奇怪的转跳指令,呵呵,直接跟进的话会头晕的
我们直接向下找长转跳和变形长转跳
细心点往下面看
004AB3EB ^\E9 5489FCFF jmp alaqq1_6.00473D44
004AB3F0 08B44A 0018B44A or byte ptr ds:[edx+ecx*2+4AB41>
004AB3F7 00C4 add ah,al
呵呵,这里就是一个可疑的转跳了,跳到OEP了,Magic Jump
把光标停在004AB3EB上面,F4运行到光标处,记录 JMP 后面的值
然后F8,进入真正的未加密程序了
然后就是“脱壳再当前进程”
再用Importres填入刚才保存的OEP=00473D44-00400000=00073D44修复输入表
再用PEID看看
PEID 显示 Nothing found * 但是壳已经确实被脱掉了
程序作者在木马里面做了手脚,把入口点处的编译器特征代码更改了,所以PEID不认识
收工!
(责任编辑:笑虎)
其他文章
- 上一篇文章: 用net start 可以启动肉鸡的命令一览
- 下一篇文章: 黑客必备命令-FTP命令