自己动手写API监控工具
摘要:需求来源:1.长期做木马外挂的逆向分析工作,基本上也就看看API调用情况也就知道大概的原理了,手工一个个地分析无疑浪费时间和精力。2.想知道一个感兴趣的应用程序是如何编写的,监控下API调用情况也可以基本了解实现原理。现状:目前市面上这样的工具还是蛮多的,有AutoDebug,ApiTracing,...
阅读全文
posted @ 2011-12-31 13:30
12 2011 档案
通过注册表以及文件操作的方式获取当前正在实际使用的物理网卡MAC地址
摘要:获取MAC地址的方法很多,网上流传的大多是:1.通过GetAdaptersInfo获取。2.通过ipconfig/all命令获取,然后通过管道方式获取输出结果,并对结果进行分析处理。3.使用Windows的SNMP(简单网络管理协议)扩展来取得MAC地址,据说是只有安装了该协议的才能获取,本人没有测试。4.使用Microsoft的Netbios API。 这是一套通过Winsock提供底层网络支持的命令。使用Netbios的最大缺点是您必须在系统中安装了Netbios服务。5.使用COM GUID API。这种方法比较不靠谱,有时获取的是随机的十六进制数。参见:http://biancheng
阅读全文
posted @ 2011-12-23 17:36
魔兽盗号样本bigfoot2分析
摘要:运行后连续释放以下文件并运行:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\T200645150560000027841\BigFoot.exe""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\T200646380243000028112\BigFoot.exe""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\T200647210381000028253\BigFoot.exe"其中第一个是正常的大脚程序,后面的两个均是捆绑的恶意程序。第一个恶意程序(第二个ex
阅读全文
posted @ 2011-12-20 15:22
魔兽盗号样本bigfoot1分析
摘要:主程序在temp目录下生成类似:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ope3.tmp""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ope4.exe"的文件,都调用SHELL32.ShellExecuteA运行。其中第一个是正常的大脚程序,第二个是木马exe,大小:26.5KB,MD5:f8cb9dd43c052ee8c1b51e78485316b6ope4.exe有简单的壳,运行后释放:"C:\WINDOWS\fOnts\eSEWZRdrSK3NeEJVy4.Ttf"&q
阅读全文
posted @ 2011-12-20 14:41
Ring3下Dll注入方法整理汇总
摘要:1.dll劫持,粗略整理了下,可以劫持的dll有(持续更新):lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从系统目录加载,不过可以将lpk.dll加入ExcludeFromKnownDlls来解决,具体可以创建一个lpk.reg文件:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Con
阅读全文
posted @ 2011-12-16 16:19
一款魔兽盗号木马分析
摘要:这款魔兽盗号木马是模仿“多玩魔兽盒子”欺骗用户从而进行盗号的,请看“多玩魔兽盒子”官方网站:http://wow.duowan.com/wowbox1/,木马模仿的钓鱼网站:http://www.tudouw.com/ 。可以看出做得很相似,稍不留意的话就会被钓鱼。大家该问了,这样的网站怎么会访问到的啊,如果魔兽玩家通过百度搜索“多玩魔兽盒子”,第一页便会有这个钓鱼网站。可以看出万恶的百度给它做了竞价排名,这就叫做为虎作伥、周助为虐,这个百度得记一大过,它只会圈钱了。网络太可怕了,什么都不敢相信了……再说这个木马,除了网页上做得很相似外。它的下载文件也和真正的“多玩魔兽盒子”差不多,只是稍微大
阅读全文
posted @ 2011-12-12 14:10
木马另类删除文件的方法
摘要:如果直接拦截DeleteFile发现并没有断下来,它用的方法是:创建一个回收站文件,例如:c:\recycle\12234.tmp,然后使用MoveFile将文件改为c:\recycle\12234.tmp,最后使用NULL调用MoveFile移动文件到c:\recycle\12234.tmp,从而删除了c:\recycle\12234.tmp。
阅读全文
posted @ 2011-12-07 14:59
监视窗口创建的方法
摘要:1)安装WH_CBT钩子 2)RegisterShellHookWindow方法,例子: http://hi.baidu.com/sysnap/blog/item/8e44a497b3aacf6655fb96af.html
阅读全文
posted @ 2011-12-07 14:56
一款QQ盗号木马分析
摘要:文件结构:资料.exe1.1CrashRacoaF.fnr运行后会弹出一个“汇款单”的图片文件,嫣然是一个伪装的木马。这个图片其实是在C盘下面的:C:\汇款单.jpg。简单分析文件:资料.exe是主程序。1.1是个dll,导出一个名叫“开始”的函数。这两个文件都有加壳,可以轻松脱掉。CrashRacoaF.fnr是个zip压缩包,解压后里面会有很多个文件,其实这里面的文件都一样,原始名称是shell.dll,版本信息是:大连大有吴涛易语言软件开发有限公司,产品名称:操作系统界面功能支持库。可以知道这个是易语言的库,就不用分析了,至于为什么带有这么多个拷贝就不知道了。如果把1.1文件删除掉,直接
阅读全文
posted @ 2011-12-02 13:44
