脱壳反编译破解木马

admin管理员组

文章数量:1656660

2024年1月14日发(作者：)

接触网络这么久，我也就遇到两次木马，这款木马是我前段时间遇到的，当时网速不好就只截了下图，今天吃饭回来早，正好补完这个教程。当时是在交流群里面指导小朋友，但看到有人上传了QQ刷钻，高中时候也帮同学做过刷钻，利用ADSL账户余额刷或者ADSL账户透支（刷钻只能通过这种方法，很多各种名目刷钻就是骗人的，毕竟腾讯几万IT精英面前你想捣乱不是一件容易事），所以就把这款软件下载下来看下。解压出来一个小程序，直接运行了一下。报错了，是对方打包时候少带上文件了？禁用了任务管理器，很简单，ADSL刷钻自己用过，禁用管理器明显不是ADSL刷钻该做的。这时候QQ掉线，让输密码，正常人都不会输的对吧，

好了，用OD加载程序，反编译看下程序都做了什么，这是我对系统API下的断点。第一次断下来是这里，对一个IME文件操作，无视，反正是虚拟机，对输入法操作不管，这里分析可能是用一款输入法替换你现在的输入法，这样输入帐号密码就记录下来了，这就是键盘记录，我也用过键盘钩子做记录，不过腾讯对键盘钩子做了特殊处理，正常网页和一

些游戏可以获取，QQ帐号之类处理过的获取都是乱码。写入了，百度百科有详解，至于是不是同一款蠕虫病毒，我们稍后分析，继续往下分析

在C盘写入了一个的文件，TXT文件，直接打开看下是什么。

程序的路径，用来删除程序的。

这时候看到C盘写入了一个文件。

找到它，发现原来桌面的自毁了，本本身隐藏到这里了，这里面文件众多，多一个少一个不是专门来找是不会发现有什么问题的。

OD载入这个木马，看看都做什么。

查找字符串，看到了禁用管理器，文件损坏，写入等等刚刚的分析。重点是这里，获取到QQ帐号密码后一般通过两种方式接受，SMTP收信和ASP收信（两种方法我都用过，所以很了解）。稍微介绍下，SMTP收信会暴露一个黑客的SMTP邮箱帐号密码，新手经常使用，操作简单，稳定性高，但暴露了一个SMTP邮箱，尤其我拿到这个邮箱后会关闭SMTP收信，修改密码等，使对方SMTP收信瘫痪。至于ASP收信，则需要稳定的ASP空间，一年费用不低，免费的都不稳定，用的心烦。

我们通过上面获取的ASP收信地址进去看看，发现无任何反映，可能做了处理，那我们把访问的ASP改成TXT试下，这是个人习惯，我用收信时候，保存密码的就是文件，打开后发现是一个宣传网页，高估了那个往讨论群里面传文件的人了，原来只是一个用别人软件的人，连自己写木马都不会。面对ASP收信，我还是不太想去硬破的，主要我英语太差，对ASP进攻都需要开着百度翻译来翻译英雄，下载下来分析下这个文件，看看有没有捷径。

一个名为小海写的盗号木马生成器，700块钱卖。。。。查下壳，北斗壳，玩马的朋友都爱用北斗加壳，手动免杀是高级黑客的专利，新手们更多是用工具来免杀，o(︶︿︶)o唉一个新手黑客，被一个菜鸟使用者暴露了，我们那千人讨论群里面，最少800人能轻松解决这新手黑客。

北斗壳，遇到向上跳转直接到下面F4。到达程序OEP。

脱掉。

重新载入脱壳后程序，这程序已经赤裸裸暴露在面前了.这时候好多方法应对，先来修改程序吧，把这款程序变为自己的，毕竟买一套源码要700。。。。真要的出手。这么菜的程序。

修改完成了，这程序已经归无名所有，对于修改，大家可以随便了解，看点资料练下手就会了，小学玩武林群侠传时候经常这样修改游戏存盘记录，所以用HEDIT修改这程序轻轻松松完成，这时候我们就可以低于小海价格贩卖了，本来700一套，我们可以500一套，但贩卖入侵别人计算机软件是犯法的，我是不会做的，劝你们也不要做。

修改后的，只是交大家一种处理方法。好了，没有太多收获，还是老老实实对ASP进行攻击吧。可以参考我13年2月分的CSS，xss,SQL注入入门，想要各种都进攻的得心应手，你要了解PHP,ASP,ASPX,HTML,SQL等等一大堆语言，这样才能进攻任何网页网站时候得心应手，同时我们只攻击自己的网页网站服务器，了解一下技术就好，不要攻击他人的。要学会保护好自己，稍微交大家几招，保护国外肉鸡，多来几个，一环套一环，每个肉鸡都用不同的密钥加密传送文本，最后套回国内肉鸡，挂上代理进攻，这样就没办法找到你了，对，就是这样，进攻自己的电脑，根本追踪不到是谁在攻击自己电脑，当然我们心里清楚是自己在攻击自己。被防火墙无情阻拦了，一个漏洞百出的ASP网站，讲道理轻轻松松就应该进去的，不过服务器的防火墙太严密了，不过既然是漏洞百出的网站，保护在严密也总有方法进去的。

依旧阻拦，试了好多方法，正常情况下应该能进入的，正规服务器我们可以举报这个木马ASP空间，但这明显是一个非法的空间，才会允许木马ASP生存，还对其做了大量保护，这时候举报根本没有用，那就让我们辛勤的白客封掉黑客的木马ASP空间吧，保护网民不受其害.

手动累了，用啊D扫描吧，扫描到后台了。

啊D扫描就是功能强大，基本进攻都集合到一键命令上面了，有了后台我们就通过一句话上传小马，再通过小马上传大马，拿到对方空间权限。把服务器上信息获取下来，基本情况是一个新手黑客做的一个木马生成器，给了大概5000多人用，这5000多人总共获取了大概30M的帐号密码，一个帐号密码40B，算30M大概79W个QQ帐号密码，5000人，大概一个菜鸟盗了一百来革号，真是危害不浅，对于这种盗取他人信息的黑客，我们要坚决打击，保护大家信息不被他人盗用，维护网络秩序。

本文标签： 木马收信文件程序修改