黑客攻防之与BT下载的捆马者的较量

现在的时代，捆马成风，什么东西里都捆马。五花八门的方式都出来了，就连一个游戏也要捆马。我在BT之家看到场了一个抢滩登陆2006 就他的介绍看来是不错的。捆马的人自己敢声称：经KV2005把关无毒，说明他对自己的免杀的功力是很有自信的。下面，就让我们来一步步的揭开他的骗局。

下载得到抢滩登陆2006.exe的确KV2005下提示无毒，用瑞星金山全部提示无毒，用PEID检查为看上去没有问题，但是一个安装包怎么可能是Microsoft Visual C 6.0？一个安装包竟然要用vmprotect处理？这是为什么？要免杀吗？这就更加怀疑了。

下面开始和捆马者正面较量！

我开始把他想简单了，以为可以直接用安装包解开工具直接处理，没想到的是我的所有安装包解开工具都提示无法解开，原因我想应该是vmprotect改变了文件的一些结构，从而无法识别。好的，我们来简单的。直接运行安装包，不过要先记得拔掉网线。

这里提供一个好工具icesword 1.18 利用icesword 1.18的线程监控功能，我们可以轻易的发现马的一切动作。

我们运行他，什么也不要再点，直接来看，2006.exe就是安装包主文件，仔细看好了，2006.exe启动了一个2.tmp和3.tmp,然后就创建了awaress.cn文件。进而，awaress.cn创建了iexplorer.exe这个东西看起来象个网站，其实就是鸽子的主体文件，下面我们把他检测一下。通过virustotal检测我们可以看到，这个家伙用了nspack pe_patch两个加壳工具不过ewido/卡巴还是能查杀他。

木马已经进入了系统，下面我们把他抓出来，看看服务： 瞧，和他的主文件名一样，这个文件就是他释放出的马了。结合icesword可以看见红色的iexplorer.exe，即为木马的进程。木马已经抓出来了，下面就是对他处理处理。可以抓到后台的捆马的人，找出他的IP。然后嘛，拿出我们的强力攻击工具搞死他。哈哈 我个人习惯把文件改成DLL，这样一来可以防止误运行，又可以被PE工具检测。我们可以看到，是nspcak的加壳，可以进一步确认为NsPacK V3.7 -> LiuXingPing *的。

为了能够反向抓出捆马的人，我们首先来脱壳。用Ollydbg加再使用ESP定理，在0012ffc0上下memory access端点，我们回来到这里难道脱壳没有成功？不，这个捆马着加了两次NSPACK，同样的方法，我们解决问题，回来到这里。这里是捆马的家伙自己写的花指令，一路跟踪下去。我们最终会到达以下地方。从这里开始，所有的壳已经被解开开，作者还写好了Ultra String Reference，项目 864。

Address=004A2ED7

Disassembly=push Awarenes.004A2FD6

Text String=雨花石专版服务端安装成功！

堆栈 ss:[0012FF70]=00E63874

edx=00E62530, 

(ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107

A05DFE0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41

243C773D542B3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7

D2230BA5DE94B7D6FB)

堆栈 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn")

edx=00000000

堆栈 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb")

edx=00000000

堆栈 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn")

edx=00000000

堆栈 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn")

edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn")

堆栈 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn")

edx=00000000

Awareness

管理卷影复制服务拍摄的软件卷影复制。

C:\>ping flkano.noip.cn

Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data:

Reply from 202.110.91.221: bytes=32 time=78ms TTL=112

我们要搞死他可以使用DDOS工具攻击他的*80断口，他的很快就会不上线了。

好了。我们还有一件事情没有做完。起先的那个游戏是个捆绑的版本，我们还要分离出无马的纯净版本。既然他是个捆绑机释放出的两个文件：2.tmp和3.tmp，其中2.tmp就是游戏的真正的安装文件，我们把他复制出来。再用icesword看看，我命名为了2.exe瞧，没有再产生新文件了吧，说明这个就是真正的游戏。这就是用PEID再次扫描的结果，确实是个安装包了。说明解包成功，我们获得了真正的纯净的安装包。

接下来，我们来学习学习他的免杀的方法。鸽子的主文件叫awareness.cn，这个名字具有相当大的隐蔽性，容易被当成一个合法的网站空间。使用了两次的NsPacK V3.7 -> LiuXingPing *加壳，并且用了自己编写的花指令，成功的实现了大范围内的免杀。我们再来看看原始的带马的安装包，是一个捆绑机，使用了VMProtect加密入口处代码，并且将VMProtect自动产生的vmp0,vmp1两个区段修改成了rsrc1,vmp1一避人耳目。然后，再次使用花指令，这个花指令是VC 6。0的入口处代码。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有