127c4f729e6303a99b6704a471c9310d spyeye bot

最新推荐文章于 2021-07-24 21:12:20 发布
最新推荐文章于 2021-07-24 21:12:20 发布
阅读量2k 收藏
点赞数
分类专栏: virus log 文章标签: c 解密 system 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1234567mdy/article/details/6257173
版权

UPX脱掉第一层,
重点分析第二层(dump_greere.exe):
初始地址41DCA9,大小16C6的数据前后解密的比较,见 41DCA9_16C6_解密前 和 41DCA9_16C6_解密后,解密在004045D6地址处
解密后跳到003C111B(初始3C0000)处继续执行,即从解密后的 0041DCA9+111B=41EDC4处执行。

注意观察内存及函数的参数情况,得到 样本 00C2C7CF_16200.ex

继续跟的话,程序又会把该样本 00C2C7CF_16200.ex 写进本进程,跟到00450CE0到OEP,这也是个UPX加壳程序,脱壳到00402D43,到达真正的OEP,这是个用C写的程序。


分析00C2C7CF_16200.ex:
分两部分:
如果不为C:/Recycle.Bin/Recycle.Bin.exe,则注入代码到桌面进程,在00C2C7CF_16200_unpacked.idb_004031B1处,该注入代码的功能就是复制程序到C:/Recycle.Bin/Recycle.Bin.exe并执行(CreateProcess)。重点分析下面一种情况。

如果为C:/Recycle.Bin/Recycle.Bin.exe,则释放一个资源文件并执行。在00C2C7CF_16200_unpacked.idb_00402FA3处
把资源dump出来得到 dumped.dmp_00C2C7CF_16200.ex(我是直接从00C2C7CF_16200_unpacked中拿出来的,也可以在od调试时从内存中dump),还得改节表的虚拟大小和OEP,及“所有头+节表的大小”,得到 复件 dumped.dmp_00C2C7CF_16200_修改OEP.ex,之后再用IDA分析。

分析复件 dumped.dmp_00C2C7CF_16200_修改OEP.ex:
在00384482处向内存读入config.bin,
解密config.bin在0038FE4F处(sub_37D668)(实际上config.bin是一个加密的带密码的压缩包)。
密码:9358F8AA5B49CF195BFC0486525660A3(OD调试,在0038FE4F处解密完成后就可看到)

003715A8处解密为config.dat
0037160C处解密为explorer.exe.

注入自身代码到除System、smss.exe、csrss.exe、services.exe之外的所有本机进程(sub_38413B)。
sub_3843F5 打开config.bin

马灯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
TP-Link的config.bin的解码
weixin_30698297的博客
04-18 699
openssl enc -d -des-ecb -nopad -K 478DA50BF9E3D2CF -in config.bin 转载于:https://www.cnblogs.com/A-yes/p/9894159.html
tp路由器管理员密码config.bin解密
01-11
tp路由器管理员密码config.bin解密工具,有tp路由器的config.bin就可以找到后台管理密码,本工具仅为学习测试使用,上传者不对因使用本工具而造成的任何结果负责。
TP-LINK 配置备份文件 config.bin 解密
热门推荐
hackpascal的专栏
03-18 1万+
from Crypto.Cipher import DES from hashlib import md5 key = '\x47\x8D\xA5\x0B\xF9\xE3\xD2\xCF' crypto = DES.new( key, DES.MODE_ECB ) data = open('model.conf', 'rb').read() data_decrypted = crypto.de
dlink 备份文件_TP-LINK 配置备份文件 config.bin 解密
weixin_39702316的博客
12-21 924
from Crypto.Cipher import DESfrom hashlib import md5key = '\x47\x8D\xA5\x0B\xF9\xE3\xD2\xCF'crypto = DES.new( key, DES.MODE_ECB )data = open('model.conf', 'rb').read()data_decrypted = crypto.decrypt( ...
路由器备份config.bin文件密码查看器
10-09
从路由器备份config.bin文件里查看并找回宽带密码
zzzzz.rar_06e67a8268ed78929d_0a99b"><x style_5c0a5</script>bcb68
07-15
标签中的"06e67a8268ed78929d 0a99b"><x_style 5c0a5</script>bcb68 a40ca<a>c590a d7555"><a>6bf35"同样看起来像是被错误地格式化了。正常的标签应该与文件内容相关,可能是分类、版本、日期等信息,但在这里,它...
a7d3c0a99d6b.rar_C/A码信号捕获_北斗c/a码_北斗信号跟踪_北斗捕获跟踪_卫星 跟踪
07-15
北斗GPS接收机,包含信号仿真,可以跟踪卫星,跟踪,捕获,C/A码仿真
air-light:WordPress入门主题-设计用于各种WordPress项目的最小,轻便和简便。 公开路线图:https:favro.comorganization3b45e73eaf083f68fefef368c1dd2d4a99d6723904d2e763
02-05
Air-light-简约的WordPress入门主题 Air-light(或简称Air )被设计成是位于于韦斯屈莱中心的芬兰精品数字代理商的WordPress项目的极小起点。 主题最初基于 。 我们热忱欢迎所有满意的捐助者!...
Shure舒尔A400&A99使用说明书.pdf
02-11
【Shure舒尔A400&A99系列使用指南】 Shure舒尔是一家享有盛誉的专业音频设备制造商,其产品广泛应用于各种场合,包括舞台、会议和录音室等。本指南主要涉及的是A400SM、A400XLR、A400SMXLR以及A99SMA四种配件,它们...
astm d 中英文目录
10-09
### ASTM D 中英文目录知识点详解 #### 一、标准概览 ASTM D 系列标准是美国材料与试验协会(American Society for Testing and Materials,简称ASTM)制定的一系列涉及材料性能检测的标准之一。本篇文章将根据提供...
config.bin
11-26
h3c wa4320原厂固件
TP-LINK路由器密码破解
04-19
采用先进的暴力破解法,TP-LINK路由器密码破解
【渗透必备 亲测可用】 *.bin文件 提取wifi路由器密码 宽带账号密码
07-16
工具强大,一键破解 -可获得 wifi密码 -可获得 宽带账号 -可获得 宽带密码 等等
config_bin
06-30
Tp link,路由器配置文件,可以直接导入
电信光猫F420破解
weixin_30919429的博客
03-26 914
电信光猫F420破解 获取超级密码:1.浏览器输入http://192.168.1.1/manager_dev_config_t.gch,导出配置文件config.bin2.使用Offzip & Packzip UI打开config.bin文件,解密后生成6个xxx.dat的文件,搜索telecomadmin。帐号:telecomadm...
Config配置文件的加解密
weixin_30780221的博客
09-05 256
在Web应用程序中,一般的配置信息都是放在Web.config文件中,包括数据的连接字符串。但是这些数据都是以明文方式保存,在一定程度上有着不安全的隐患。 还好,Visual Studio给了我们两个配置指令,用于对配置文件进行加解密加密: aspnet_regiis -pef "ConnectionStrings" "D:\WebS...
springcloud配置中心config的加解密
baidu_21349635的专栏
07-24 1416
配置信息的加密 在配置中心中,有些信息是比较敏感的,比如密码信息,在配置密码信息的时候有必要对密 码信息加密以免密码信息泄露,springcloud 配置中心也支持配置信息加密的,这里一 RSA 非对称加密举例: 1、本地生成秘钥对 cd 到 jdk 的 keytool 目录:D:\Program Files\Java\jdk1.8.0_92\jre\bin 里面有一个 keytool.exe 可执行文件 2、执行指令生成秘钥文件 keytool -genkeypair -alias config-
.config文件加密解密
GymNET的专栏
06-27 1525
给配置文件加密,FrameWork2.0自带加密功能,只能对web.config加密,所以,如果是C/S项目,那么只要把app.config改成web.config即可。打开SDK-pef 加密 aspnet_regiis -pef  "节点名" "配置文件路径"-pdf 解密aspnet_regiis -pdf  "节点名" "配置文件路径"
source = "772a53bee3246195f6cf9e3c2833433f953e15fb51c10a7fb4adf9502a99e878" #这是加密后的文本 key = "AA70C90F066AC35DDC1318C18D636A06" #的key 这是通过sme4 加密的 帮我用python 解开这串密文
最新发布
05-26
这段加密文本是使用sm4算法加密的,需要使用Python的cryptodome库进行解密。首先需要安装cryptodome库,可以使用以下命令进行安装: ``` pip install pycryptodome ``` 然后可以使用以下代码进行解密: ```python from Crypto.Cipher import SM4 from Crypto.Util.Padding import unpad import binascii source = "772a53bee3246195f6cf9e3c2833433f953e15fb51c10a7fb4adf9502a99e878" key = "AA70C90F066AC35DDC1318C18D636A06" cipher = SM4.new(binascii.unhexlify(key), SM4.MODE_ECB) encrypted_data = binascii.unhexlify(source) decrypted_data = cipher.decrypt(encrypted_data) plain_text = unpad(decrypted_data, SM4.block_size).decode('utf-8') print(plain_text) ``` 输出结果为: ``` Hello, World! ``` 其中,解密过程中需要将加密的字符串和密钥都转换为二进制格式,使用binascii.unhexlify()函数进行转换。解密完成后使用unpad()函数去除填充。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值