昨天liurui569 發(fā)了個(gè)shift后門(mén),下載玩弄了一下,由于太晚沒(méi)詳細(xì)寫(xiě)過(guò)程,今天做了個(gè)詳細(xì)點(diǎn)的圖文過(guò)程說(shuō)明下破解的經(jīng)過(guò).
有關(guān)shift后門(mén)的激活方式,目前發(fā)現(xiàn)的就這么幾種
1.使用鍵盤(pán)事件通過(guò)快捷鍵激活
2.使用鼠標(biāo)事件通過(guò)單擊或雙擊界面某處激活
3.使用鍵盤(pán)事件及鼠標(biāo)事件相結(jié)合的方式激活
以上所說(shuō)的是高防后門(mén)的激活方式,rar自解壓的不在此范圍之內(nèi),后門(mén)的編程語(yǔ)言目前發(fā)現(xiàn)以vb,delphi和c++等語(yǔ)言為主.對(duì)
于shift后門(mén)的破解,網(wǎng)上鮮見(jiàn)教程,曾經(jīng)搜索了很久,只好自己摸索.也曾在華夏77169發(fā)布過(guò)兩篇vb后門(mén)的破解過(guò)程.廢話不多
說(shuō),來(lái)看liurui569 發(fā)的這個(gè)后門(mén).
此后門(mén)為delphi編寫(xiě)的后門(mén).無(wú)殼,這樣就省略了脫殼的步驟了.
測(cè)試運(yùn)行后門(mén)發(fā)現(xiàn)后門(mén)運(yùn)行后,復(fù)制自身到c:\windows\fonts\fonts.exe下,并且劫持注冊(cè)表指向該路徑,同時(shí)程序還執(zhí)行過(guò)某
些系統(tǒng)程序,通過(guò)軟件偵測(cè)到的部分?jǐn)?shù)據(jù)
新建 C:\WINDOWS\Prefetch\CACLS.EXE-25504E4A.pf
新建 C:\WINDOWS\Prefetch\CACLS.EXE-25504E4A.pf
新建 C:\System Volume Information\_restore{5828498B-E212-48E2-B40C-3D66645342F0}\RP9\A0005390.exe
新建 C:\System Volume Information\_restore{5828498B-E212-48E2-B40C-3D66645342F0}\RP9\A0005391.exe
新建 C:\WINDOWS\Fonts\fonts.exe
新建 C:\WINDOWS\Prefetch\SC.EXE-012262AF.pf
新建 C:\WINDOWS\Prefetch\SETHC.EXE-23CFB742.pf
這些具體都是些什么行為,沒(méi)深入檢測(cè),主要關(guān)注下程序的激活方式和密碼.
程序載入資源編輯工具pexplorer.exe中,對(duì)軟件的相關(guān)資源進(jìn)行查看分析.
我們主要看rc數(shù)據(jù),前兩項(xiàng)為系統(tǒng)自動(dòng)生成的,看下面三項(xiàng)TPASS項(xiàng)是密碼輸入窗口Tuser是后門(mén)的功能界面窗口,TX項(xiàng)為sethc
的程序界面.
在TPASS里面的一個(gè)TEDIT的控件text項(xiàng)發(fā)現(xiàn)一組數(shù)值6521206,暫時(shí)記下來(lái)很有可能是密碼,沒(méi)到最后驗(yàn)證一切都是未知.
這里我們主要關(guān)注下sethc的主界面,因?yàn)榧せ罘绞降木索都在這個(gè)項(xiàng)目里.
注意看下主界面使用了5個(gè)Label控件和三個(gè)Button控件,沒(méi)有多余的控件,有的密碼輸入框激活后在主界面的就會(huì)多用一個(gè)
Label控件,我曾經(jīng)寫(xiě)過(guò)一個(gè)shift后門(mén)就是用的這種方式.因此開(kāi)始我就猜他是使用的鍵盤(pán)事件激活的.后來(lái)繼續(xù)分析每個(gè)控件
后發(fā)現(xiàn)了秘密.
看到吧,這個(gè)Label3.Label4.Label5三個(gè)控件都用到了一個(gè)ONdblclick,玩過(guò)delphi的人都知道,這是個(gè)鼠標(biāo)雙擊事件,在Label
的控件上出現(xiàn)雙擊事件是非�?梢傻,所以可以肯定這個(gè)后門(mén)用到了鼠標(biāo)事件激活,因?yàn)橛檬髽?biāo)和鍵盤(pán)事件結(jié)合寫(xiě)后門(mén)的似乎
還是比較少的,所以初步分析后就可以進(jìn)行試運(yùn)行測(cè)試了,既然有三組鼠標(biāo)雙擊事件,那么必然就有個(gè)順序問(wèn)題
第一次測(cè)試Label3-5分別雙擊,無(wú)法激活,反序依然,第三次進(jìn)行循環(huán)測(cè)試Label3-4-5-3,這時(shí)就出現(xiàn)了密碼輸入界面了,但是
Label3雙擊了兩次才出現(xiàn)應(yīng)該不正常,最后確定了雙擊的順序是Label4-5-3, 呵呵完美.程序正常激活
進(jìn)行密碼測(cè)試,輸入剛才得到的6521206這組數(shù)值,成功進(jìn)入.
至此對(duì)于該后門(mén)的激活方式就分析完成了,至于軟件的行為分析不在此過(guò)程之列.
總結(jié),此后門(mén)算是一個(gè)相當(dāng)簡(jiǎn)單的shift后門(mén),登陸密碼未進(jìn)行有效保護(hù),以致非常簡(jiǎn)單的就獲取到了正確的密碼,甚至不需要?jiǎng)?BR>用到靜態(tài)或動(dòng)態(tài)的分析工具,一個(gè)資源編輯器就可以查找到,激活方式難度不高,如果采用鍵盤(pán)事件激活的就要?jiǎng)佑肙D等分析工
具進(jìn)行跟蹤了,通過(guò)對(duì)這個(gè)后門(mén)的分析,為大家分析其他后門(mén)以及破解,提供一種思路.分析過(guò)程就到這里了.
域名注冊(cè)知識(shí)
虛擬主機(jī)知識(shí)
網(wǎng)站建設(shè)知識(shí)
網(wǎng)絡(luò)推廣知識(shí)
網(wǎng)絡(luò)營(yíng)銷(xiāo)知識(shí)
常見(jiàn)技術(shù)問(wèn)題
QQ空間
新浪微博
開(kāi)心網(wǎng)
人人網(wǎng)
