用户
搜索
  • TA的每日心情
    开心
    2018-7-27 14:34
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    10

    主题

    33

    帖子

    188

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2018-5-26

    i春秋签约作者

    发表于 2019-1-26 15:05:57 813550

    好久不见的敲竹杠以及迷之自信的作者

    0x0 概况

    近期,笔者捕获到了一个样本,并且作者放出话说没有人能够破解,我想探探虚实,没成想作者可能脑子坏掉了。

    连壳都没加就说没有人能破解真是心大。

    0x1 分析

    查看编译时间戳

    查看杀软捕获时间

    既然没有壳,我们使用OD分析看看。

    使用Ctrl+G跟随表达式00401000

    找到字符串-作者的QQ


    发现了作者的QQ

    不仅发现了QQ还看到了创建localgroup administrators,shutdown关机等命令,在OD看让笔者眼花缭乱,所以笔者决定使用IDA分析。

    通过IDA载入程序,直接跳转到刚才发现的位置。

    一阵乱点之后我们来到了想要的地方

    从这里可以看出id是随机的,因为(suiji-ID),所以笔者使用了3个云沙箱来验证一下。



    好的,的确都是wyc+4个数字+ysys的密码。说明笔者的分析是正确的。

    就可以F5查看伪代码看算法咯。

    0x2 故事

    作者一直说笔者的算法是错误的,然后说了一堆让人难懂的话。

    我已经把算法给他了,但是他又去拿“一个高手”破解出的对应随机密码出来挑衅。

    我只想说,汇编看不懂的也没什么好讲的,还有那个所谓的“一个高手”别丢人现眼了,行为分析的密码拿出来说是自己破解的......

    0x3 总结

    敲竹杠已经流行几年了,经久不衰,甚至还更新迭代,但是作者一般都是小学生水平的,编译成功后以为加个强壳就万事大吉了。人外有人,天外有天。笔者也算是从2013年就开始研究敲竹杠,见过无数敲竹杠,这个已经算是低级的了,但是这个作者连逆向出来的算法都不肯承认,那笔者也是无语了。

    里面有些图片和事实描述不符
    希望下次矫正
    使用道具 举报 回复
    像这样的小学生水平的东东就该这样做
    一位热衷于分享,积极向上的小白
    使用道具 举报 回复
    我还真以为小学生呢
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2019-1-29 10:41:22
    论坛有你更精彩!
    使用道具 举报 回复
    发表于 2019-1-30 17:00:19
    天天看你们这些大表哥各种操作,就很很开心,牛逼
    使用道具 举报 回复

    像这样的小学生水平的东东就该这样做
    使用道具 举报 回复
    发表于 2019-2-14 16:33:31
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册