现在的时代,捆马成风,什么东西里都捆马。五花八门的方式都出来了,就连一个游戏也要捆马。我在BT之家看到场了一个抢滩登陆2006 就他的介绍看来是不错的。捆马的人自己敢声称:经KV2005把关无毒,说明他对自己的免杀的功力是很有自信的。下面,就让我们来一步步的揭开他的骗局。
下载得到抢滩登陆2006.exe的确KV2005下提示无毒,用瑞星金山全部提示无毒,用PEID检查为看上去没有问题,但是一个安装包怎么可能是Microsoft Visual C++ 6.0?一个安装包竟然要用vmprotect处理?这是为什么?要免杀吗?这就更加怀疑了。
下面开始和捆马者正面较量!
我开始把他想简单了,以为可以直接用安装包解开工具直接处理,没想到的是我的所有安装包解开工具都提示无法解开,原因我想应该是vmprotect改变了文件的一些结构,从而无法识别。好的,我们来简单的。直接运行安装包,不过要先记得拔掉网线。
这里提供一个好工具icesword 1.18 利用icesword 1.18的线程监控功能,我们可以轻易的发现马的一切动作。
我们运行他,什么也不要再点,直接来看,2006.exe就是安装包主文件,仔细看好了,2006.exe启动了一个2.tmp和3.tmp,然后就创建了awaress.cn文件。进而,awaress.cn创建了iexplorer.exe这个东西看起来象个网站,其实就是鸽子的主体文件,下面我们把他检测一下。通过virustotal检测我们可以看到,这个家伙用了nspack pe_patch两个加壳工具不过ewido/卡巴还是能查杀他。
木马已经进入了系统,下面我们把他抓出来,看看服务: 瞧,和他的主文件名一样,这个文件就是他释放出的马了。结合icesword可以看见红色的iexplorer.exe,即为木马的进程。木马已经抓出来了,下面就是对他处理处理。可以抓到后台的捆马的人,找出他的IP。然后嘛,拿出我们的强力攻击工具搞死他。哈哈 我个人习惯把文件改成DLL,这样一来可以防止误运行,又可以被PE工具检测。我们可以看到,是nspcak的加壳,可以进一步确认为NsPacK V3.7 -> LiuXingPing *的。
为了能够反向抓出捆马的人,我们首先来脱壳。用Ollydbg加再使用ESP定理,在0012ffc0上下memory access端点,我们回来到这里难道脱壳没有成功?不,这个捆马着加了两次NSPACK,同样的方法,我们解决问题,回来到这里。这里是捆马的家伙自己写的花指令,一路跟踪下去。我们最终会到达以下地方。从这里开始,所有的壳已经被解开开,作者还写好了Ultra String Reference,项目 864。
Address=004A2ED7
Disassembly=push Awarenes.004A2FD6
Text String=雨花石专版服务端安装成功!
|
哈哈,名字就在这里,我们等会再去看看,先解决反向连接的IP,我们来到这里:
堆栈 ss:[0012FF70]=00E63874
edx=00E62530,
(ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107
A05DFE0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41
243C773D542B3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7
D2230BA5DE94B7D6FB)
堆栈 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn")
edx=00000000
堆栈 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb")
edx=00000000
堆栈 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn")
edx=00000000
堆栈 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn")
edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn")
堆栈 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn")
edx=00000000
Awareness
管理卷影复制服务拍摄的软件卷影复制。
|
由以上几个方面的内容,很简单的就获得的全部的配置:
C:\>ping flkano.noip.cn
Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data:
Reply from 202.110.91.221: bytes=32 time=78ms TTL=112
|
捆马的人正在线呢。
我们要搞死他可以使用DDOS工具攻击他的*80断口,他的很快就会不上线了。
好了。我们还有一件事情没有做完。起先的那个游戏是个捆绑的版本,我们还要分离出无马的纯净版本。既然他是个捆绑机释放出的两个文件:2.tmp和3.tmp,其中2.tmp就是游戏的真正的安装文件,我们把他复制出来。再用icesword看看,我命名为了2.exe瞧,没有再产生新文件了吧,说明这个就是真正的游戏。这就是用PEID再次扫描的结果,确实是个安装包了。说明解包成功,我们获得了真正的纯净的安装包。
接下来,我们来学习学习他的免杀的方法。鸽子的主文件叫awareness.cn,这个名字具有相当大的隐蔽性,容易被当成一个合法的网站空间。使用了两次的NsPacK V3.7 -> LiuXingPing *加壳,并且用了自己编写的花指令,成功的实现了大范围内的免杀。我们再来看看原始的带马的安装包,是一个捆绑机,使用了VMProtect加密入口处代码,并且将VMProtect自动产生的vmp0,vmp1两个区段修改成了rsrc1,vmp1一避人耳目。然后,再次使用花指令,这个花指令是VC++6。0的入口处代码。
在带马的安装包启动时,自动释放出鸽子并且改名成3.tmp在临时目录运行,再释放出真正的安装包为2.tmp在临时目录运行,只要我们复制出2.tmp并且改名为2.exe就能够得当纯净版本的游戏其中2.exe就是纯净版本的游戏,awareness.exe就是马,我们的工作顺利完成了。
总结一下,利用icesword我们能够轻易的发现问题,让这里的捆绑马的人显出原形。
如果你有什么文件值得怀疑,那么可以在icesword的监控中运行,然后就能够轻易的发现是不是存在问题,这种方法比filemon/regmon联合监控的效果还要好,强烈推荐!
对付这些恶意的捆马者,我们要能轻松的识破他们的诡计,如果你想反向攻击攻击恶意的捆马者,可以使用些扫描工具或者溢出工具攻击攻击。如果实在没有办法可以使用SYN攻击工具直接攻击他的鸽子上线端口,这样绝对能让鸽子上线失效,当然,你要去免费域名商去把他的免费域名报告要求封闭也可以,具体的就大家自己干吧。
最后希望大家逃离挂马捆马的苦海,同时也希望那些以挂马捆马为荣耀的人停手吧,这样做对你们的技术提高有什么好处?
(t003)