調戲勒索軟體大黑客

01-27

作者：immenma
來源：i春秋社區
如果已看過此篇，可直接跳去隔壁片場 >>> 再次調戲勒索軟體大黑客【第二篇】

故事起源於C語言吧,本人作為某一不稱職小吧,某天在吧內看到了這個:

其實不用猜都知道,這個肯定不是什麼好東西,下載後放到虛擬機中一跑,就出現了這個畫面

所以,這個叫xiaoba的大黑客馬上被刪帖封禁處理。

不過鑒於他在某些不該跳的地方跳大神，因此，就這樣簡單放過他是不存在的，鑒於最近實在有股怨念，因此我決定把這個大黑客的老底都翻出來。然後狠狠調戲一番讓他知道IT界的殘酷。所以本章內容我都不打碼，一是起到掛城牆的作用，二是是讓這個大黑客看看並讓他死個明白。

首先，通過對他百度賬戶的搜索沒發現xiaoba這個大黑客長期浪跡於易語言吧

就是這個貼吧：

首先：本人對易語言實在沒什麼好感

然後：本人對易語言那群死忠用戶實在沒什麼好感

最後：本人對易語言那些做什麼鎖機病毒勒索的尤其沒什麼好感

進一步搜索信息發現，這貨在到處散播他的勒索軟體，比如這個

這個，還有在各大貼吧論壇中，都有這貨的足跡

順藤摸瓜摸到」易語言吧」的一個帖子中,剛好有被他的勒索軟體中獎的

一次勒索1k元,不怕吃不下撐著么,在帖子中,這貨還出來現身說法了,似乎他對他的勒索軟體十分得意

但是不湊巧的是,這貨的的勒索病毒剛發出來就被路過的野生大神五步破解了

但顯然這貨不服

然後這位大黑客開始曬他的」英雄事迹」

顯然他的舊版勒索軟體被看雪的大佬扒了個乾淨,不過他還是不屈不撓地製作著更多的」新版本」

我們先回到之前那個勒索病毒中來

也就是這個號稱RSA+AES加密的勒索軟體(其實並沒有,大黑客似乎並不知道什麼是RSA和AES),將它放到虛擬機當中,使用ollydbg掛載它,顯然大黑客對反調試手段似乎只知道一個加殼,這個勒索軟體使用了UPX加殼,簡單來說就是沒點卵用,畢竟壓縮殼在執行過程中已經是全裸的了。

然後ALT+M打開內存映像,搜索8B5424048B4C240885D275,這個是易語言字元串比對的特徵碼

根據分析這個特徵在這個程序中有2處,而比對註冊碼的在第二處,跳轉到這個地址,然後下斷點

在勒索軟體的框框中隨便輸入點什麼,點開始恢復文件,命中斷點

第一次命中時,勒索軟體會先比較字元串是否為空,在第二次比較時才會和正確的Key進行比較,第二次比較時,顯然正確的key已經出來了(右下角棧中)

沒關係,我們繼續跟直到retn查看回到哪了,返回後走幾步,基本就知道怎麼回事了

要破解很簡單,要麼把je用nop填充,要麼在Call 比對函數後把eax置為0,當然最直接的是直接把下面的代碼

變成這樣

很快,這款基本沒啥難度的勒索軟體繳械投降

至於他說的什麼RSA AES,那都是笑話,以他的智商根本不具備任何的防逆向分析與數據加密能力.

為了臉打得徹底點,基於上述原理我編寫了一個一鍵破解的小軟體,代碼不長你可以直接複製黏貼編譯,你可以在附件里找到這個軟體的release程序和源代碼

#include <Windows.h>n#include <tlhelp32.h>n#include <iostream>n#include <fstream>n#include <stdio.h>n n#define EXEJ_EXENAME &quot;XiaoBa.exe&quot;n nstatic unsigned char const bin[]={0x83,0xf8,0x00,0xb8,0x00,0x00,0x00,0x00,0x0f,0x94,0xc0,0x89,0x45,0xf8,0x8b,0x5d,0xfc,0x85,0xdb,0x74,0x09};nstatic unsigned char const crkbin[]={0x33,0xc0,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90};n nvoid MESSAGE(char *s)n{nMessageBox(NULL,s,&quot;&quot;,MB_OK);n}nint main()n{nchar buffer1k[1024];nunsigned int oft=0;nint bfound=FALSE;nHANDLE procSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);nif(procSnap == INVALID_HANDLE_VALUE)n{nMESSAGE(&quot;無法枚舉進程n&quot;);nreturn 0;n}n//nPROCESSENTRY32 procEntry = { 0 };nprocEntry.dwSize = sizeof(PROCESSENTRY32);nBOOL bRet = Process32First(procSnap,&procEntry);nwhile(bRet)n{nif (strcmp(procEntry.szExeFile,EXEJ_EXENAME)==0)n{nbfound=TRUE;nbreak;n}nbRet = Process32Next(procSnap,&procEntry);n}n nif (!bfound)n{nMESSAGE(&quot;未找到目標進程n&quot;);nreturn 0;n}n nCloseHandle(procSnap);n nHANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procEntry.th32ProcessID); n nif (!hProcess)n{nMESSAGE(&quot;無法打開目標進程n&quot;);nreturn 0;n}n nDWORD oldProtect,fw,p=1;nwhile (oft<0x7fffffff-sizeof(buffer1k))n{nVirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), PAGE_EXECUTE_READWRITE, &oldProtect );nReadProcessMemory( hProcess, (LPVOID)oft, buffer1k, sizeof(buffer1k), NULL);nfor (int soft=0;soft<sizeof(buffer1k)-sizeof(bin);soft++)n{nif (memcmp(buffer1k+soft,bin,sizeof(bin))==0&&!(p--))n{nWriteProcessMemory(hProcess,(LPVOID)(oft+soft-sizeof(crkbin)),crkbin,sizeof(crkbin),&fw);nif (fw==0)n{nbreak;n}nif (fw==sizeof(crkbin))n{nMESSAGE(&quot;破解成功!請點擊開始恢復文件&quot;);nCloseHandle(hProcess);nreturn 0;n}n}n}n//VirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), oldProtect, NULL );noft+=(sizeof(buffer1k)-sizeof(bin));n}nMESSAGE(&quot;未找到破解特徵&quot;);n}n

將破解程序拷貝到中毒計算機中,雙擊運行後，提示破解成功