黑手揭秘：与BT下载的捆马者来一番较量

对捆马者的分析--脱壳--揭开骗局--学习他的技术

现在的时代。。捆马成风，什么东西里都捆马，五花八门的方式都出来了。。就连一个游戏也要捆马。我在BT之家看到场了一个 抢滩登陆2006 就他的介绍看来是不错的，捆马的人自己敢声称：经kv2005把关无毒，说明他对自己的免杀的功力是很有自信的，下面，就让我们来一步步的揭开他的骗局下载得到抢滩登陆2006.exe 如图片所显示，的确kv2006下提示无毒，用瑞星金山全部提示无毒，用PEID检查为 看上去没有问题，但是一个安装包怎么可能是Microsoft Visual C 6.0？下面这张图片 一个安装包竟然要用vmprotect处理？这是为什么？要免杀吗？这就更加怀疑了。。

下面开始和捆马者正面较量！

我开始把他想简单了，以为可以直接用安装包解开工具直接处理，没想到的是我的所有安装包解开工具都提示无法解开，原因我想应该是vmprotect改变了文件的一些结构，从而无法识别的，好的，我们来简单的，直接运行安装包，不过要先记得拔掉网线！！

这里提供一个好工具icesword 1.18 利用icesword 1.18的线程监控功能，我们可以轻易的发现马的一切动作；

要，我们运行他，什么也不要再点，直接来看 就是这个图片，2006.exe就是安装包主文件，仔细看好了，2006.exe启动了一个2.tmp和3.tmp,然后就创建了awaress.cn文件，进而，awaress.cn创建了iexplorer.exe这个东西看起来象个网站，其实就是鸽子的主体文件，下面我们把他检测一下。。 这个图片是virustotal的检测结果，我们可以看到，这个家伙用了nspack pe_patch两个加壳工具不过ewido/卡巴还是能查杀他

木马已经进入了系统，下面我们把他抓出来，看看服务： 瞧，和他的主文件名一样，在看看文件 这个文件就是他释放出的马了，结合icesword 可以看见红色的iexplorer.exe,即为木马的进程。木马已经抓出来了，下面就是对他处理处理。可以抓到后台的捆马的人，找出他的IP，然后嘛，拿出我们的强力攻击工具搞死他。。哈哈 我个人习惯把文件改成DLL,这样一来可以防止误运行，又可以被PE工具检测，我们可以看到，是nspcak的加可，可以进一步确认为NsPacK V3.7 -> LiuXingPing *的

为了能够反向抓出捆马的人，我们首先来脱壳，用Ollydbg加在 使用ESP定理，在0012ffc0上下memory access端点，我们回来到这里 难道脱壳没有成功？不，这个捆马着加了两次NSPACK,同样的方法，我们解决问题，回来到这里 这里是捆马的家伙自己写的花指令，一路跟踪下去。。我们最终回到达以下地方 从这里开始，所有的壳已经被解开开，我们看看下图 作者还写好了Ultra String Reference，项目 864

Address=004A2ED7

Disassembly=push Awarenes.004A2FD6

Text String=雨花石专版服务端安装成功！哈哈，名字就在这里，我们等会再去看看，先解决反向连接的IP，我们来到这里

堆栈 ss:[0012FF70]=00E63874

edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171

DD743F967A806141107A05DFE0AD79C0D311361503EE75A3AC2CC096919

737A72F340252EF6F00377CC910B5A0F41243C773D542B3D61227F040B2EC6885484

641D47B329E19EDFB40FE692E8DA4EE8D99158E7D2230BA5DE94B7D6FB)

堆栈 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn")

edx=00000000

堆栈 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb")

edx=00000000

堆栈 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn")

edx=00000000

堆栈 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn")

edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn")

堆栈 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn")

edx=00000000

Awareness

管理卷影复制服务拍摄的软件卷影复制

由以上几个方面的内容，很简单的就获得的全部的配置

C:\>ping flkano.noip.cn

Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data:

Reply from 202.110.91.221: bytes=32 time=78ms TTL=112

捆马的人正在线呢，

· 查询结果1：河南省 许昌市 网通

· 查询结果2：河南省驻马店市 网通

肯定是个河南省的垃圾hacker,我们要搞死他可以使用DDOS工具攻击他的*80断口，他的很快就回不上线了，OK，搞死捆马的人。。。

好了。我们还有一件事情没有做完，

起先的那个游戏是个捆绑的版本，我们还要分离出无马的纯净版本，OK，既然他是个捆绑机释放出的两个文件:2.tmp和3.tmp,，其中2.tmp就是游戏的真正的安装文件，我们把他复制出来 在用icesword看看， 我命名为了2.exe瞧，没有再产生新文件了吧，说明这个就是真正的游戏 这就是用PEID再次扫描的结果，确实是个安装包了。。说明解包成功，我们获得了真正的纯净的安装包

接下来，我们来学习学习他的免杀的方法，鸽子的主文件叫awareness.cn,这个名字具有相当大的隐蔽性，容易被当成一个合法的

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有