admin管理员组文章数量:1567737
逆向准备工作
1.在蠕虫文件目录下添加一个thumbs.db文件,在该目录下任意拷贝一个图片文件,查看缩略图就可以产生这种图片缓存文件。
2.修改两处样本pe文件,把004014C0处的repe 字串拷贝指令nop掉,此处指令会造成内存越界程序崩溃。
把00401d37处的 jz指令改为jnz,此处是从QQ进程取得QQ号后如果返回0没有取到则跳走,由于QQ2013最新版进程中没有了\qq\FixFileList.dat字串标记,故取不到QQ号,后面的逻辑就不执行了。
改为jnz会走后面的代码
逆向结果:
如main函数,
1. 先调用_sub_HideSelf函数,读取本目录下的thumbs.db文件,将自身附加到文件尾部。
2.sub_SetWndProc设置窗口处理msg消息的窗口过程。设置主要为取得QQ密码框的密码后,发送到网络,发送代码如下
Sub_initServerconnect中初始化和服务器的http链接,前面将密码和qq号存在v11缓冲区中,然后赋值到szUrl,并且在这个函数中发出去。
3.在TimerFunc的定时器函数中,取得QQ账号和QQ密码的过程如下,
先调用GetForegroundWindow,取得顶层窗口句柄,如果类名是”TXGuiFoundation”,则是QQ窗口,然后处理如下
遍历QQ进程内存,然后取得QQ号,然后给任务栏发送消息,产生“显示桌面”的效果。
然后设置伪造窗口的QQ账号和密码框,账号框为只读,内容为QQ号,密码框为编辑框可输入。然后显示伪造窗口,设置焦点为密码框内。得到密码后进入2中的消息循环,发送密码。
--写于2013-7-23
版权声明:本文标题:一款简单的QQ盗号蠕虫逆向分析 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1726907886a1089951.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论