XX下载器分析过程

最新推荐文章于 2024-04-17 13:27:24 发布
VIP文章 最新推荐文章于 2024-04-17 13:27:24 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: IDA 文章标签: 无聊 ida 脱壳 wireshark python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stpallas/article/details/46842659
版权

1. 脱壳

查看下载器的PE信息,发现其使用了UPX加壳,所以首先对下载器进行UPX 脱壳。

2. 抓包分析

通过Wireshark查看下载器发送的HTTP请求,发现如下信息:

2.1 下载器发送的第一个请求为:

http://down.72zx.com/xml/web1.xml?winver=6.1

其中如下信息与接下来的HTTP请求相关:

<web>
<id>1</id>
<name>XX软件园</name>
<tag>ONLINEDOWNE</tag>
<xmlurl>
<![CDATA[
http://www.onlinedown.net/api/index.php?action=pc.pconline.soft
]]>
</xmlurl>
<logourl>
<![CDATA[ http://www.onlinedown.net/icon.png ]]>
</logourl>
</web>

2.2 下载器发送的第二个请求为:

http://www.onlinedown.net/api/index.php?action=pc.pconline.soft&webid=1&softid=20355&token=9b89c16eeafa0faf120b0f9b78294677

其返回的内容为xml格式,其中的downsrc保存了下载的来源:

<downsrc><![CDATA[http://crcfj.onlinedown.net/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://fjmcc.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://nmas.onlinedown.net/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://sdmcc.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://jsmcc5.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://sdmcc2.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://jsmcc2.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://cttnb.onlinedown.net/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://nm.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://sccrc.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://nm.onlinedown.net/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://amcc.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://klrs.onlinedown.net/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://sqyd3.newhua.com:82/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://sqyd4.newhua.com:82/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://zjmcc4.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://hlbr.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://cttxj.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://zjmcc5.newhua.com/down/QQ7.4.zip]]></downsrc>
<downsrc><![CDATA[http://jsmcc4.newhua.com/down/QQ7.4.zip]]></downsrc>

尝试改变HTTP请求中的SoftID来下载其他软件,服务器返回错误结果,因此推断后面的token应该是个参数有效性验证的信息。

现在的问题归结为下载器如何生成softidtoken信息。

3. 静态分析

使用IDA对下载器代码进行静态分析。

目前已知信息:
softid为整数: 20355 / 0x00004F83
token是长度为32的十六进制字符串: 9b89c16eeafa0faf120b0f9b78294677

初步静态分析发现:
.text:00569ECC DownloadRealFile proc near ; DATA XREF: .text:00568F5Co
处为下载器启动后与服务器交互并获取下载参数的代码

push    offset aWebid_0 ; "webid="
mov     eax, off_57FA04
push    dword ptr [eax]
push    offset aSoftid_0 ; "&softid="
mov     eax, off_57F550
push    dword ptr [eax]
push    offset aToken_0 ; "&token="
mov     eax, off_57FA04
push    dword ptr [eax+8]

此段代码显示相关信息存放在:

Name Address
softid off_57F550
token off_57FA04

首先从softid入手:
跟踪地址off_57F550
.data:0057F550 off_57F550 dd offset unk_5A569C ; DATA XREF: sub_54C7F4:loc_54C839r
跟踪偏移unk_5A569C

.bss:005A569C unk_5A569C      db    ? ;               ; DATA XREF: sub_54B2D4+37o
.bss:005A569C                                         ; .data:off_57F550o
.bss:005A569D                 db    ? ;
.bss:005A569E                 db    ? ;
.bss:005A569F                 db    ? ;

在此处设置 read/write 硬件断点。

对token做同样的处理:
跟踪地址off_57FA04
.data:0057FA04 off_57FA04 dd offset unk_5A5684 ; DATA XREF: sub_54C7F4+4Br
跟踪偏移unk_5A5684 + 8 -> : .bss : 005A568C

.bss:005A5684 unk_5A5684      db    ? ;               ; DATA XREF: sub_54B2D4+27o
.bss:005A5684                                         ; .data:off_57FA04o
.bss:005A5685                 db    ? ;
.bss:005A5686                 db    ? ;
.bss:005A5687                 db    ? ;
.bss:005A5688                 db    ? ;
.bss:005A5689                 db    ? ;
.bss:005A568A<
最低0.47元/天 解锁文章
Stroot_Zhang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【前端js】xlsx插件时间转换‘xxxx-xx-xx’给我转成了五位数,咋整,我来帮你转回来吧~
Shaoyouiqng的博客
07-14 678
背景: 最近做xlsx文件读取的时候,时间给我转成了五位数,我懵懂了,最后还是解决了,下面分享下我的方法 根据度娘得知Excel存储的日期是从1900年1月1日开始按天数来计算的,也就是说1900年1月1日在Excel中是1。所以我们用new Date(xxx)的时候一直是1970年什么的。如果我们算出这边的一个差值就可以把这个问题处理了 export function formatePDFData(date) { let d = new Date(); d.setTime(Math.round.
SSH的jar包.rar
04-18
下面粗略的分析下FilterDispatcher工作流程和原理:FilterDispatcher进行初始化并启用核心doFilter。 Hibernate 的原理 1.通过Configuration().configure();读取并解析hibernate.cfg.xml配置文件 2.由hibernate....
tcpdump usage
zs12344444的专栏
03-31 699
tcpdump command is also called as packet analyzer. tcpdump command will work on most flavors of unix operating system. tcpdump allows us to save the packets that are captured, so that we can use it
记一个用PyPDF2裁剪pdf文件并用latex插入后出现大量空白的问题
找不到服务器的博客
12-08 1271
裁剪后的pdf很小,几乎就是沿着图片的边裁的,但是裁下来的pdf的文件大小仍然很大,而且裁剪过程中PyPDF2报出如下警告: PdfReadWarning: Xref table not zero-indexed. ID numbers for objects will be corrected. [pdf.py:1736] 然后插入latex后出现如下报错且在生成的pdf文件中没有插入的pdf图片。试了各种latex的代码也没有效果。 最后对裁剪后的pdf要再使用latex的pdfcrop工具(博客)
Dadong's JSXX 0.39 VIP所用shellcode调试
weixin_34280237的博客
04-10 536
标 题: 【原创】Dadong's JSXX 0.39 VIP所用shellcode调试作 者: promised(ID注册时打错了,不知道能不能改名) 时 间: 2011-04-09, 23:03:26链 接: http://bbs.pediy.com/showthread.php?t=132109Dadong's JSXX 0.39 VIP是IE极风漏洞网马的一种生成。其所用shellcod...
旧的国外网站
爱孔孟
06-13 1万+
Android Apps and News - AndroinicaStack OverflowGitHub · Social Coding 开源Android ListView with Load More ButtonStyling Android » Text ShadowsNCZOnlineThe Endeavour — The blog of John D. CookOracle Tec
XXX网络安全系统设计方案.txt
12-25
XXX 网络安全系统设计方 案 XXXXXX 有限公司 XXXXXXXX 日 目 录 第一章 前言…… 2 1.1 概述 …… 2 第二章 系统安全需求分析 …… 4 2.1 计算机网络环境描述 …… 4 2.2 网络安全需求分析 …… 5 第三章 ...
LCD12864液晶显示电子钟设计.doc
02-27
" " "4、提交一份完整的课程设计说明书,包括设计原理、程序设计、程 " " "序 " " "分析、仿真分析、调试过程,参考文献、设计总结等。 " "工作计"起止日期 "工作内容 " "划 " " " " "第一天 "课题绍,答疑,收集...
STL 源码剖析(侯捷先生译著)
09-09
源码形式与下载 xxiv 在线服务 xxvi 推荐读物 xxvi 第1章 STL 概论与版本简介001 1.1 STL 概论 001 1.1.1 STL的历史 003 1.1.2 STL与C++ 标准程序库 003 . 1.2 STL 六大组件 - 功能与运用 004 1.3 GNU源码...
局域网设计方案-可靠安全实验室设计.doc
12-25
二、网络拓扑图: 下图是使用cisco packet tracer软件作成的拓扑图: 三、设计方案 (1)服务设计: 1.FTP服务:网络实验室需要该服务提供文件传输功能,即网络用户可以从特定的服 务下载文件或者向该服务...
C8051F3XX下载文件转换
07-02
用于C8051F3XX系列下载文件HEX,BIN文件格式转换,无须安装。
MSP430F5xxx-BSL最新下载2019.rar
10-09
MSP430F5系列BSL下载下载软件、编程(2019最新版本,无限制版本),支持MSP430F5438A等,下载稳定、可靠。
jquery拼音转汉字搜索
萌萌的It人 www.itmmd.com
04-28 7万+
HTML: 1 DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 2 html xmlns="http://www.w3.org/1999/xhtml"> 3 4 head> 5
Latex交叉引用
jonathanlin2008的专栏
02-15 1万+
 TeX使用/lable{标号}来定义标号, 这里的标号可以是字母, 数字, 标点等组成的字符串. 需要引用, 则使用/ref{标号}, 这 里的"标号"应该是有/lable定义过的, 定义和引用的先后无关. 例如, 我们有 /subsection{Early Results} /label{sec-early}                       %这里定义子节标号 Euler's equation /begin{equation} e^{i/pi}+1=0 /label{eq:euler}  
ros routeros 8位soft ID ros8位ID
05-26 4390
L6  EWT8-SU2V-----BEGIN MIKROTIK SOFTWARE KEY------------C/LMfDwxoHZ7rMkCveGpCVNC83qlkZ404fkyF0x4qqwJDjfng0+XneT8Ji6s27I2mJSqU24Du+x+np2wkJeIFC==-----END MIKROTIK SOFTWARE KEY-------------- 
由VS Code 生成的latex模板
anzhi2150的博客
12-18 407
%% Generated by Sphinx.\def\sphinxdocclass{report}\documentclass[letterpaper,10pt,english]{sphinxmanual}\ifdefined\pdfpxdimen \let\sphinxpxdimen\pdfpxdimen\else\newdimen\sphinxpxdimen\fi \sphin...
Proxyee-down的下载与安装教程
热门推荐
shadandeajian的博客
05-17 47万+
Proxyee-down是monkeyWie在Github上的一个开源项目,向作者致敬。 最新版的Proxyee-down为3.12(2018.10更新),因为作者在3.x后的版本中并未发布exe版本,只发布了jar包 所以我们需要在计算机中安装Java环境才能使用Proxyee-down 考虑到安装成本的增加,和新版有时会无法下载 所以本博客只介绍2.x的最后一个版本的也就是2.54的下...
Python3.X 爬虫实战(静态下载与解析
工匠若水
06-17 1万+
这一篇内容主要延续上一篇[《Python3.X 爬虫实战(先爬起来嗨)》](http://blog.csdn.net/yanbober/article/details/73162298),重点偏向于爬虫爬取静态页面的下载与解析常用套路引导,主要适用于理解爬虫流程和自己编写小爬虫程序,对于大型爬虫这些介绍是十分不健壮的,我们一般会采用第三方爬虫框架,对于框架和动态页面爬取我们后面系列会进行介绍的。
陇剑杯 省赛 攻击者1 CTF wireshark 流量分析
最新发布
m0_63416413的博客
04-17 1406
陇剑杯 省赛 攻击者1 CTF wireshark 流量分析
idman 6.xx 下载
09-07
idman 6.xx 是指 Internet Download Manager(IDM...总之,IDM 6.xx是一款实用的下载工具,它能够加快下载速度,提供多种下载选项,并具有一些有用的附加功能。无论是下载大文件还是批量下载,IDM都能帮助你完成任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值