来源: FRONT.EXE 木马
工具: Redoce, C32ASM, OllyDebug, Peid
语言: VB, ASM
 

文件已经接收完成。此文件存在安全风险,已被重命名为“front.exe.重命名”,请确认来源可靠再恢复文件名。
 打开文件夹  转存至QQ网络硬盘

***** 20:52:59  我的电脑下半辈子幸福看你了
Blast祥 20:53:15  我会立刻毁掉他一生的幸福和性福……
***** 20:53:34  性福可不可以不毁?
Blast祥 20:53:48  那就留给你吧
***** 20:54:04  ..
Blast祥 20:54:08  VB的啊……很恶心的……

好了开个玩笑,前奏长了点,网友传给我个文件,front.exe,在他的system32\下,他让我帮他看看这个文件,并且把他的电脑下半辈子幸福的希望都交给我了,任务也太艰巨了,(unFSGed后)OLLY打开看下……郁闷的是完全没有unicode字符,这样我就不好断点了,用C32ASM查看下十六进制吧……

我看到了什么!?

是的,熟悉的&H标记(&H在VB中表示十六进制数字的前缀)。而看他的代码就可以知道他是建立新窗口并写入代码,难怪没有Unicode给OLLYDEBUG逮到了。

使用Redoce的本地代码加载功能,输入exe路径,点击GO,并选中&H部分,然后点击C保留选中部分。

删除空字符、空格、逗号

然后为了观看方便你可以替换&h到\x,不过换不换无所谓的

然后使用shellcode到exe功能,去除无效字符,生成exe。

(注意,这儿代码超过65535字节了,所以生成的exe是无法正常执行的)

虽然说无法动态调试,不过静态还是可以看到的,使用peid的pe disassembler即可看到,首先程序jmp 040502eh,然后通过一个call回到405006h,再不断抽取dword字符,异或a23eh来解密,根据他的代码,有兴趣的话就可以写出解密程序了。