昨天liurui569 發了個shift后門,下載玩弄了一下,由于太晚沒詳細寫過程,今天做了個詳細點的圖文過程說明下破解的經過.
有關shift后門的激活方式,目前發現的就這么幾種
1.使用鍵盤事件通過快捷鍵激活
2.使用鼠標事件通過單擊或雙擊界面某處激活
3.使用鍵盤事件及鼠標事件相結合的方式激活
以上所說的是高防后門的激活方式,rar自解壓的不在此范圍之內,后門的編程語言目前發現以vb,delphi和c++等語言為主.對
于shift后門的破解,網上鮮見教程,曾經搜索了很久,只好自己摸索.也曾在華夏77169發布過兩篇vb后門的破解過程.廢話不多
說,來看liurui569 發的這個后門.
此后門為delphi編寫的后門.無殼,這樣就省略了脫殼的步驟了.
測試運行后門發現后門運行后,復制自身到c:\windows\fonts\fonts.exe下,并且劫持注冊表指向該路徑,同時程序還執行過某
些系統程序,通過軟件偵測到的部分數據
新建 C:\WINDOWS\Prefetch\CACLS.EXE-25504E4A.pf
新建 C:\WINDOWS\Prefetch\CACLS.EXE-25504E4A.pf
新建 C:\System Volume Information\_restore{5828498B-E212-48E2-B40C-3D66645342F0}\RP9\A0005390.exe
新建 C:\System Volume Information\_restore{5828498B-E212-48E2-B40C-3D66645342F0}\RP9\A0005391.exe
新建 C:\WINDOWS\Fonts\fonts.exe
新建 C:\WINDOWS\Prefetch\SC.EXE-012262AF.pf
新建 C:\WINDOWS\Prefetch\SETHC.EXE-23CFB742.pf
這些具體都是些什么行為,沒深入檢測,主要關注下程序的激活方式和密碼.
程序載入資源編輯工具pexplorer.exe中,對軟件的相關資源進行查看分析.
我們主要看rc數據,前兩項為系統自動生成的,看下面三項TPASS項是密碼輸入窗口Tuser是后門的功能界面窗口,TX項為sethc
的程序界面.
在TPASS里面的一個TEDIT的控件text項發現一組數值6521206,暫時記下來很有可能是密碼,沒到最后驗證一切都是未知.
這里我們主要關注下sethc的主界面,因為激活方式的線索都在這個項目里.
注意看下主界面使用了5個Label控件和三個Button控件,沒有多余的控件,有的密碼輸入框激活后在主界面的就會多用一個
Label控件,我曾經寫過一個shift后門就是用的這種方式.因此開始我就猜他是使用的鍵盤事件激活的.后來繼續分析每個控件
后發現了秘密.
看到吧,這個Label3.Label4.Label5三個控件都用到了一個ONdblclick,玩過delphi的人都知道,這是個鼠標雙擊事件,在Label
的控件上出現雙擊事件是非常可疑的,所以可以肯定這個后門用到了鼠標事件激活,因為用鼠標和鍵盤事件結合寫后門的似乎
還是比較少的,所以初步分析后就可以進行試運行測試了,既然有三組鼠標雙擊事件,那么必然就有個順序問題
第一次測試Label3-5分別雙擊,無法激活,反序依然,第三次進行循環測試Label3-4-5-3,這時就出現了密碼輸入界面了,但是
Label3雙擊了兩次才出現應該不正常,最后確定了雙擊的順序是Label4-5-3, 呵呵完美.程序正常激活
進行密碼測試,輸入剛才得到的6521206這組數值,成功進入.
至此對于該后門的激活方式就分析完成了,至于軟件的行為分析不在此過程之列.
總結,此后門算是一個相當簡單的shift后門,登陸密碼未進行有效保護,以致非常簡單的就獲取到了正確的密碼,甚至不需要動
用到靜態或動態的分析工具,一個資源編輯器就可以查找到,激活方式難度不高,如果采用鍵盤事件激活的就要動用OD等分析工
具進行跟蹤了,通過對這個后門的分析,為大家分析其他后門以及破解,提供一種思路.分析過程就到這里了.
渝公網安備 50024202000196號
域名注冊知識
虛擬主機知識
網站建設知識
網絡推廣知識
網絡營銷知識
常見技術問題
QQ空間
新浪微博
開心網
人人網