大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺
水平有限 请轻喷.
这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.
其实我也没用过易语言,但在我看来(可能是我水平不高看不出来) 病毒内部循环繁杂无章,启动较慢…
病毒很简单没加壳,这也是我第一次分析易语言. 没有什么特别的技巧,OD载入跟随.
具体过程很简单F8如果程序跑起来就断点,跟进去. 繁杂的过程就不写了,没什么意思
发现setwindowspos函数发现这里有一个循环.果断下断点
看到这里窗口句柄居然有一串中文 觉得很可能是一个模板木马生成的东西.
继续跟进,里面循环函数实在太多, 估计是作者为我们设置的障碍什么的,果断放弃了继续跟随.直接让程序跑起来.
随便输入一个账户和密码,发现会弹出一个MessageBox 消息框.
然后重新来一次.. 在此画个圈圈诅咒作者把程序写的这么慢,让我等好久.
这么多jmp 我觉得点登陆 必有一中! 全部下断点 额上面注释我懒得抹了,各位看官请忽略…..
输入密码点登陆 果然断下 然后跟进,但并没到达目的地. 不过我相信胜利的曙光一定在我前面!
打开IDA g 输入 00460060 然后F5查看源代码 这个地址,为什么这关键呢, 看下面 函数很长我就截取一部分了
第一眼看见 HttpSendRequestA 我就乐开了花, 哈哈即使不懂这个API 看这个字面意思也懂了.
另外 在00461960函数内 还有smtp发送邮件方式 不过并没有调用
在IDA里向上跟跟看
通过这种方法一次向上寻找地址然后OD里下段点. 均无一处断下
样本解压密码
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/172693.html原文链接:https://javaforall.net
