|
近期,有人跟小编反馈说市面上出现了一个能破解各大无盘软件的小软件,如下图: 
这么神奇牛X的东东我们看看是干啥的。 经过测试结论如下:该软件以无盘破解+去广告吸引网吧下载使用,实则是一个记录键盘数据,可能产生盗号行为程序。 并且在测试中发现其会反复尝试领取某网吧增值平台增值任务,并试图执行。 
下面是测试过程: 1. 网上有款软件号称可以破解市面上主流的无盘系统,还有各大计费去广告,界面如下。软件非常小,加起来才1.4M,这么小的软件,怎么能做这么多事情? 
2.下载下来实际测试并无效果,总是弹出对话框提示不可用。那么他是做了什么判断后弹出的对话框呢? 
3.我们知道,弹出对话框一般会都是调用的MessageBox,该函数是阻塞的,对话框被关闭后才会返回,利用这一点我们可以看到程序调用MessageBox时的Stack Frame,OD附加到弹出对话框的程序,切换到Stack窗口,可以看到调用来自0x4012d0 
4.该程序未加壳,所以我们用IDA强大的F5功能可以直接看到此处的代码逻辑,F5后发现,0x4012d0位于函数sub_401230,对该函数使用交叉引用,发现只有sub_401004引用了该函数,而且是以回调的方式。 
5. 而在调用sub_401230前还有一个回调sub_4014B0,该函数只是简单的调用Sleep,IDA查看参数发现,其延迟时间为2秒。 
6. sub_401004是否就是点击按钮后调用的第一个函数呢?在sub_401004处下断点,发现调用来自0x41c07d,IDA分析0x41c07d,观察其函数形态这应该是一个消息分发处理函数,为了验证这个猜测,在函数头部sub_41C010下断点,每次窗口Show出来的时候都断了下来。所以sub_401004就是点击按钮后直接触发的函数无疑了。 
7.通过以上分析可知,该软件只是在点击按钮后,延迟两秒,弹出对话框,并没有做其他判断。猜测延迟的目地是让使用者误以为其做了一些判断之后才弹出的对话框,降低使用者的戒备心,以为是软件出了什么BUG。 8.那这个软件做出来到底是干嘛的呢?使用procmon跟踪发现发现该软件启动的时候会释放svchost.exe运行,并且将svchost.exe加入开机启动。 
9. 伪装微软进程的一般都不是什么好鸟。使用procmon观察svchost.exe,发现他会不停写入数据到2A9BA3BB.key? 
10.写入文件的API是WriteFile,所以我们可以用OD对WriteFile下断点,断下来后回溯,可以定位到函数sub_100097A0,在OD的栈窗口发现其参数是一个字符串[F9],正是我刚才按下的按键,结合IDA可以直接看到该函数流程,即将按键字符串与0x62异或后再写入2A9BA3BB.key。 
11.查看sub_100097A0下方的其他函数,可以看到,该软件不仅会记录按键,而且还会在前台窗口改变的时候,记录前台窗口的标题和时间。 
12.由于时间有限,没有观察此软件何时会发送按键记录数据到服务器,但是偷偷记录按键已经实锤了。 |
