用户
搜索

该用户从未签到

i春秋作家

Rank: 7Rank: 7Rank: 7

20

主题

54

帖子

3659

魔法币
收听
0
粉丝
115
注册时间
2016-12-7

i春秋认证春秋文阁春秋巡逻i春秋签约作者爱心勋章美女勋章赵

发表于 2017-11-6 12:11:59 196391454
本帖最后由 immenma 于 2019-7-30 22:29 编辑

文章首发i春秋社区,禁止未授权转载!


故事起源于C语言吧,本人作为某一不称职小吧,某天在吧内看到了这个: 调戏勒索软件大黑客45.png
其实不用猜都知道,这个肯定不是什么好东西,下载后放到虚拟机中一跑,就出现了这个画面
调戏勒索软件大黑客90.png
所以,这个叫xiaoba的大黑客马上被删帖封禁处理
  不过鉴于他在某些不该跳的地方跳大神,因此,就这样简单放过他是不存在的,鉴于最近实在有股怨念,因此我决定把这个大黑客的老底都翻出来。然后狠狠调戏一番让他知道IT界的残酷。所以本章内容我都不打码,一是起到挂城墙的作用,二是是让这个大黑客看看并让他死个明白。
  
  首先通过对他百度账户的搜索没发现xiaoba这个大黑客长期浪迹于易语言吧
就是这个贴吧
aa.png
调戏勒索软件大黑客300.png
首先本人对易语言实在没什么好感
然后本人对易语言那群死忠用户实在没什么好感
最后本人对易语言那些做什么锁机病毒勒索的尤其没什么好感

进一步搜索信息发现这货在到处散播他的勒索软件比如这个
调戏勒索软件大黑客475.png
调戏勒索软件大黑客477.png
这个还有在各大贴吧论坛中都有这货的足迹
调戏勒索软件大黑客501.png

顺藤摸瓜摸到易语言吧的一个帖子中,刚好有被他的勒索软件中奖的
调戏勒索软件大黑客537.png
一次勒索1k,不怕吃不下撑着么,在帖子中,这货还出来现身说法了,似乎他对他的勒索软件十分得意
调戏勒索软件大黑客588.png
但是不凑巧的是,这货的的勒索病毒刚发出来就被路过的野生大神五步破解了
调戏勒索软件大黑客626.png
但显然这货不服
调戏勒索软件大黑客636.png
然后这位大黑客开始晒他的英雄事迹
调戏勒索软件大黑客658.png
显然他的旧版勒索软件被看雪的大佬扒了个干净,不过他还是不屈不挠地制作着更多的新版本
调戏勒索软件大黑客704.png 调戏勒索软件大黑客706.png
我们先回到之前那个勒索病毒中来
调戏勒索软件大黑客724.png
2.png

调戏勒索软件大黑客726.png
也就是这个号称RSA+AES加密的勒索软件(其实并没有,大黑客似乎并不知道什么是RSAAES),将它放到虚拟机当中,使用ollydbg挂载它,显然大黑客对反调试手段似乎只知道一个加壳,这个勒索软件使用了UPX加壳,简单来说就是没点卵用,毕竟压缩壳在执行过程中已经是全裸的了
调戏勒索软件大黑客867.png
然后ALT+M打开内存映像,搜索8B5424048B4C240885D275,这个是易语言字符串比对的特征码
调戏勒索软件大黑客924.png
根据分析这个特征在这个程序中有2,而比对注册码的在第二处,跳转到这个地址,然后下断点
调戏勒索软件大黑客970.png
调戏勒索软件大黑客972.png
勒索软件的框框中随便输入点什么,点开始恢复文件,命中断点
调戏勒索软件大黑客1004.png
第一次命中时,勒索软件会先比较字符串是否为空,在第二次比较时才会和正确的Key进行比较,第二次比较时,显然正确的key已经出来了(右下角栈中)
调戏勒索软件大黑客1078.png
没关系,我们继续跟直到retn查看回到哪了,返回后走几步,基本就知道怎么回事了
调戏勒索软件大黑客1120.png
要破解很简单,要么把jenop填充,要么在Call 比对函数后把eax置为0,当然最直接的是直接把下面的代码
调戏勒索软件大黑客1178.png
变成这样
调戏勒索软件大黑客1185.png
很快,这款基本没啥难度的勒索软件缴械投降
调戏勒索软件大黑客1208.png
至于他说的什么RSA AES,那都是笑话,以他的智商根本不具备任何的防逆向分析与数据加密能力.
为了脸打得彻底点,基于上述原理我编写了一个一键破解的小软件,代码不长你可以直接复制黏贴编译,你可以在附件里找到这个软件的release程序和源代码
[C] 纯文本查看 复制代码
#include <Windows.h>
#include <tlhelp32.h>
#include <iostream>
#include <fstream>
#include <stdio.h>
  
#define EXEJ_EXENAME "XiaoBa.exe"
  
static unsigned char const bin[]={0x83,0xf8,0x00,0xb8,0x00,0x00,0x00,0x00,0x0f,0x94,0xc0,0x89,0x45,0xf8,0x8b,0x5d,0xfc,0x85,0xdb,0x74,0x09};
static unsigned char const crkbin[]={0x33,0xc0,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90};
  
void MESSAGE(char *s)
{
MessageBox(NULL,s,"",MB_OK);
}
int main()
{
char buffer1k[1024];
unsigned int oft=0;
int bfound=FALSE;
HANDLE procSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if(procSnap == INVALID_HANDLE_VALUE)
{
MESSAGE("无法枚举进程\n");
return 0;
}
//
PROCESSENTRY32 procEntry = { 0 };
procEntry.dwSize = sizeof(PROCESSENTRY32);
BOOL bRet = Process32First(procSnap,&procEntry);
while(bRet)
{
if (strcmp(procEntry.szExeFile,EXEJ_EXENAME)==0)
{
bfound=TRUE;
break;
}
bRet = Process32Next(procSnap,&procEntry);
}
  
if (!bfound)
{
MESSAGE("未找到目标进程\n");
return 0;
}
  
CloseHandle(procSnap);
  
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procEntry.th32ProcessID);        
  
if (!hProcess)
{
MESSAGE("无法打开目标进程\n");
return 0;
}
  
DWORD oldProtect,fw,p=1;
while (oft<0x7fffffff-sizeof(buffer1k))
{
VirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), PAGE_EXECUTE_READWRITE, &oldProtect );
ReadProcessMemory( hProcess, (LPVOID)oft, buffer1k, sizeof(buffer1k), NULL);
for (int soft=0;soft<sizeof(buffer1k)-sizeof(bin);soft++)
{
if (memcmp(buffer1k+soft,bin,sizeof(bin))==0&&!(p--))
{
WriteProcessMemory(hProcess,(LPVOID)(oft+soft-sizeof(crkbin)),crkbin,sizeof(crkbin),&fw);
if (fw==0)
{
break;
}
if (fw==sizeof(crkbin))
{
MESSAGE("破解成功!请点击开始恢复文件");
CloseHandle(hProcess);
return 0;
}
}
}
//VirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), oldProtect, NULL );
oft+=(sizeof(buffer1k)-sizeof(bin));
}
MESSAGE("未找到破解特征");
}
将破解程序拷贝到中毒计算机中,双击运行后,提示破解成功
调戏勒索软件大黑客3315.png
之后输入任意密码,开始解密
调戏勒索软件大黑客3331.png
到此,这个勒索软件宣告沦陷,不过我们不急,我们放长线钓大鱼
将这个勒索软件拷贝到虚拟机中,使用PeDoll进行行为分析
有关PeDoll使用教程在论坛中有,在这里我们使用恶意程序分析(带网络进行调试)
挂载后分析行为
调戏勒索软件大黑客3442.png
点击开始分析,可以看到,在程序执行几个cmd命令后,把自己设置为开机启动后开始全盘疯狂搜索并加密文件
调戏勒索软件大黑客3495.png
调戏勒索软件大黑客3497.png
调戏勒索软件大黑客3499.png
调戏勒索软件大黑客3501.png
汇编,C,C#源码类,doc ppt docx 文件类都遭毒手,然后释放背景图片
调戏勒索软件大黑客3545.png
最后PeDoll抓到了网络通讯的数据包,访问baidu的应该是易语言里某些插件做的
调戏勒索软件大黑客3589.png
之后他还访问了www.ip138.com,应该是查询被锁电脑的IP地址
调戏勒索软件大黑客3665.png
最后,高潮来了,这个软件往25端口发送了一些数据
调戏勒索软件大黑客3692.png
25端口是什么,没错,SMTP发信协议,发邮件的,要发邮件必须是带有账户密码,看来大黑客除了有勒索的技能,还在如何把自己账号密码告诉别人这点上颇有造诣.点开数据,查看25端口的数据包
调戏勒索软件大黑客3787.png
别的不多说了在AUTH LOGIN后的数据包是他邮箱base64后的账户,再之后的一个SEND就是他BASE64后的密码,当然这个软件还会在你电脑上截图然后用邮箱发出去
调戏勒索软件大黑客3874.png
调戏勒索软件大黑客3877.png
调戏勒索软件大黑客3880.png
调戏勒索软件大黑客3882.png
使用Base64解密,得出账户
调戏勒索软件大黑客3901.png
密码
调戏勒索软件大黑客3906.png
邮件发送的信息(主机配置和序列号还有解锁的Key):
调戏勒索软件大黑客3935.png
打码?不需要的,大家随便登录随便玩,foxmail,我们看看有什么好东西
2.png
看来除了我们刚刚测试的还有很多人被锁了
调戏勒索软件大黑客3997.png
调戏勒索软件大黑客3999.png
5.png
4.png
3.png
还有受害者求密码的,你看别人多直爽
调戏勒索软件大黑客4019.png
6.png
调戏勒索软件大黑客4021.png
行啊,你不客气我也不留情,很快呢我翻到了一些有趣的东西
调戏勒索软件大黑客4051.png
这个邮件,显然是作者用来自己测试用的邮箱,他把自己大作的源码传了上来,OK,既然来了就大家一起开开心心的开源吧,当然还有他电脑桌面的一张截图,大家一起分享下,所有源码在附件可下载.
调戏勒索软件大黑客4144.png
当然,还有别的好玩的
比如,大黑客测试时IP也给我们了,比如这个电脑名叫Xiaoba,就是他没跑了
调戏勒索软件大黑客4197.png
调戏勒索软件大黑客4207.png
调戏勒索软件大黑客4209.png
到这里,基本大黑客的老底被扒了大半了,我把他的所有邮件都下载下来,当然还是放在附件中,开心么?如果你认为这样就结束了?,当然没有,怎么可能,我们继续
笔者首先开了个小号,假装成受害者给他发邮件
调戏勒索软件大黑客4310.png
为了显示我们很”我们多发几封过去.,虚拟机再拍张照,显示我们的诚意
调戏勒索软件大黑客4384.png
现在我们等他上钩,然后给他点精神上的打击,没想到没想到他快就回了
调戏勒索软件大黑客4384.png

咳咳
调戏勒索软件大黑客4389.png
调戏勒索软件大黑客4391.png
调戏勒索软件大黑客4393.png
调戏勒索软件大黑客4395.png
还想要钱,不给你看点东西你都不知道IT界的残酷
调戏勒索软件大黑客4433.png
调戏勒索软件大黑客4435.png

调戏勒索软件大黑客4437.png
大黑客突然蒙了,为什么邮箱被黑了
捕获.PNG
恐怕大黑客今晚要睡不着了,这篇文章让你死个明白
捕获.PNG
END:放出大黑客邮件的打包源码&一键破解器&一些别的,回复可见。


勒索软件破解器+源代码: XiaoBa Onekey Cracker.zip (4.82 KB, 下载次数: 150, 售价: 5 魔法币)

评分

参与人数 15积分 +100 魔法币 +445 收起 理由
Sir 7 + 10
zhixueying + 5
CatGames + 1 鼓励转贴优秀软件安全工具和文档!.
752322217 + 1
bbschang + 3
baitt + 3 66666
ala1987 + 5
開膛王子 + 2
严二爷 + 1 干的漂亮
鸭子 + 5 感谢你的分享,i春秋论坛有你更精彩!.
jinguo569 + 3 感谢你的分享,i春秋论坛有你更精彩!.
细心 + 50 + 50 表姐。带我飞吧。。。
Sp4ce + 300 欢迎分析讨论交流,i春秋论坛有你更精彩!.
独狼1927 + 50 + 50 这才是真实力!
z7788520 + 6 表姐威武

查看全部评分

本帖被以下淘专辑推荐:

毕竟易语言是用C++写的, 对于那些小朋友 毕竟年龄小有对这种热爱和满足心里应该是支持的,不到一定的年龄,那个年龄段大学之前就可以用易语言写这些小东西还是不错的。等到大学专业的学习后,以前那些思路会对他们受益匪浅,但是获利就算了。
总的说:一个不成熟的人用一门不成熟的语言去干不成熟的事
使用道具 举报 回复
发表于 2017-11-26 20:13:19
膜拜大佬()   另外  感觉很激动 很爽咧
膜拜大佬()   另外  感觉很激动 很爽咧
膜拜大佬()   另外  感觉很激动 很爽咧
膜拜大佬()   另外  感觉很激动 很爽咧
使用道具 举报 回复
发表于 2017-11-8 10:10:58
膜拜大佬,大快人心,哈哈,之前碰到一个软件叫"电脑信息助手",获取电脑信息的同时把电脑信息、宽带账号等都通过邮件发送出去了,也通过类似的手法,拿了邮箱,Dump了所有邮件。
使用道具 举报 回复
发表于 2017-11-17 11:30:43
nb膜拜大佬,大快人心,哈哈,之前碰到一个软件叫"电脑信息助手",获取电脑信息的同时把电脑信息、宽带账号等都通过邮件发送出去了,也通过
使用道具 举报 回复
发表于 2017-11-6 16:07:18
本帖最后由 jasonx 于 2017-11-15 14:39 编辑

准确来说,这人是住在,兰州市宝瑞花园附近。
附近的朋友可以去看看,他们应该有个工作室【小把科技工作室】 1.jpg
------在下名为菜逼,阁下请多指教。
------博客:www.jasonx.cc
使用道具 举报 回复
发表于 2017-12-15 21:42:10

膜拜大佬()   另外  感觉很激动 很爽咧
膜拜大佬()   另外  感觉很激动 很爽咧
使用道具 举报 回复
看雪大佬?不应该是卡饭大佬?反正卡饭大佬都不屑玩他的"作品",卡饭ID:TheYuCheng
使用道具 举报 回复
看雪大佬?不应该是卡饭大佬?反正卡饭大佬都不屑玩他的"作品",卡饭ID:TheYuCheng
使用道具 举报 回复
发表于 2017-11-6 14:46:33
我就问一句:请律师了没有
找到后台了,搞他? https://www.laimooc.cn/page/admin.html
使用道具 举报 回复
onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋认证 秦 春秋文阁 i春秋签约作者
地板
发表于 2017-11-6 16:44:17
表姐威武
信息安全菜鸟/社会主义接班人
使用道具 举报 回复
发表于 2017-11-6 17:31:37
大快人心
使用道具 举报 回复
膜拜大神
使用道具 举报 回复
膜拜大佬,大快人心
使用道具 举报 回复
发表于 2017-11-6 21:06:16
小学生是越来越多
使用道具 举报 回复
发表于 2017-11-7 09:17:44
第一次发现it届这么残酷
使用道具 举报 回复
发表于 2017-11-7 12:32:18
源码加密了
使用道具 举报 回复
发表于 2017-11-7 14:01:45
请收下我的膝盖
使用道具 举报 回复
发表于 2017-11-7 14:48:54

请收下我的膝盖
使用道具 举报 回复
发表于 2017-11-7 15:03:43
摩拜,大神!
使用道具 举报 回复
发表于 2017-11-7 15:05:51
膜拜大佬()   另外  感觉很激动 很爽咧
使用道具 举报 回复
您需要登录后才可以回帖 登录 | 立即注册