记一次VB和.nte逆向

最新推荐文章于 2023-09-15 20:45:00 发布
最新推荐文章于 2023-09-15 20:45:00 发布
阅读量474 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/114489523
版权

这篇文章先要感谢我一位朋友,我对vb和.net不是很熟悉,分析在他的帮助下才完成了,真的非常感谢他的无私帮助

起因

有一天想找一款工具替代TeamViewer搜寻中发现了UltraViewer还挺好用的,所以来分析一下看能不能获取到用户保存的密码

软件:

UltraViewer6.02.008x

过程

下载下来,先查壳
在这里插入图片描述
发现加了UPX的壳
直接脱壳,UPX脱壳教程很多,这里不写了

脱壳的时候明显的发现了VB程序的特征

在这里插入图片描述
再查壳,确实为VB程序
在这里插入图片描述
查看程序界面保存密码的地方

在这里插入图片描述
使用VB.Decompiler.pro查看脱壳的VB程序
在这里插入图片描述
发现确实存在这个界面

在这里插入图片描述
调试这cmdOK 发现根据输入的密码获取了一串HASH值
在这里插入图片描述
在这里插入图片描述
然后把值保存在
HKEY_LOCAL_MACHINE\SOFTWARE\UltraViewer 中然后把明文密码清除
这是这种软件惯用的手法,可以看到这个键下保存了许多有用的信息
在这里插入图片描述
初步分析,这个软件是通过hash比对的方法来对比密码,这样以来想获取明文密码只能通过HASH爆破或者碰撞的方法了

柳岸花明

似乎分析就这样要结束了,但经过查看一遍软件后
在这里插入图片描述
发现还有一个自动填充账号密码的功能,这个看起来似乎有搞头,于是前往设置里查看

在这里插入图片描述

默认是会储存密码到加密文件的,不过只有三个小时,但是够用了,但目前还不知道储存密码文件的路径,软件里也并没有给出

这里的思路可以用火绒剑监视一下文件创建和写入的过程
在这里插入图片描述
找到可疑的位置TempPass.ini
在这里插入图片描述

看这样的内容就像被加密过的,大概率是储存密码信息的文件
再查看ConnectionOutHistory.ini
在这里插入图片描述

也储存了一些有用的信息

推测这个密码文件是在加载时候就被载入的,可以通过CE内存搜索来确定密码文件载入内存的时间,或者火绒剑,或者直接下打开文件的条件断点

于是我们在初始化里面去找
在这里插入图片描述
发现这个函数
在这里插入图片描述

调试这个函数

发现了这里,传入了SID,然后获取了一串HASH,这HASH看起来非常像MD5等一下可以作为分析的要点,或者可以用HASH分析工具分析一下,确定是哪种算法
在这里插入图片描述
在这里传入了获取的HASH,然后解密了数据
在这里插入图片描述

至此,我们定位完成了一半

我们发现一个问题,这种调用都是通过call [edx+0x170] 来调用的,我们来跟踪一些这些函数的位置
在这里插入图片描述
跟进去后发现是CLR系统的CLR模块调用的,也就是说这个VB是通过调用.NET的模块,来实现他的函数功能的,这时候我们就需要定位到.NET的函数模块来分析了。有很多办法,我这里记录两个

1.改变传参是其调用时候崩溃,然后定位崩溃。
2.分析文件结构目录和名字综合推断分析,找出相应的.NET模块

这里由于程序本身的.NET.DLL模块不是很多,耐心一点很快就定位好了
在这里插入图片描述
发现模块本身加了混淆,使用De4Dot去除混淆
然后使用dnSpy打开
搜索关键字MD5,encrypt,Decrypt 等等,然后在可疑函数下断点,查看传参和返回是否与之前调试的一致,下好断点后直接使用dnSpy调试
在这里插入图片描述

最后定位到了,这几个函数
在这里插入图片描述

在这里插入图片描述

到这里基本就能解密出来了

大概解密流程就是获取SID->GetMD5,然后读取加密文件,将加密文件和MD5传入DecryptData 中进行解密,然后返回密文。

在解密代码还原的过程中遇到一个小问题,目前也没有解决,先记录下来

本来我是向直接调用去混淆后的DLL的解密函数来进行解密,没想到用VS新建一个C#控制台工程后,添加了这个DLL为引用,然后VS就自动退出了.

然后我想将DLL使用反射加载进行调用,然后在创建对象(Activator.CreateInstance)的这一步莫名奇妙的崩溃了,网上搜也找不到相应的答案,遂放弃改成扣代码;

在扣代码的过程中也有一些要注意,可能是反编译的原因,有些名字还原的比较奇怪,但是一般加解密算法来说都不会自己去实现,都是调用系统库,或者某些现成的库,所以在还原代码的时候,善用搜索引擎,就拿当前的例子来说:
GteMD5
没还原前是这样的:
在这里插入图片描述

实际上还原后是这样的
在这里插入图片描述

这都是网上现成的例子,但是反编译引擎把
stringBuilder.Append(array[i].ToString("x2"));
翻译成了
stringBuilder.Append(array[i].ToString(<Module>.smethod_6<string>(4013354042u)));
如果再去扣<Module>.smethod_6<string>(4013354042u)),这句话里面的东西就是太复杂,也不应该
同理类推DecryptData也是如此,简单的话就自己实现,复杂的话就去网上搜搜,看看别人实现的代码,然后思路就有了
在这里插入图片描述
这部分已经分析结束了。

这个软件接下来还可以分析,比如,可以通过ID然后输入任何密码来登录,关键就是要找到密码比对的地方然后想个办法来修改,或者生成密码的地方,这部分待续。。。

这里是生成密码的地方
在这里插入图片描述
在这里插入图片描述

QQQqQqqqqrrrr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软件体系结构笔
weixin_43534575的博客
07-12 4020
软件体系结构笔 软件开发流程 1.软件开发流程_简介 1.1从管理角度 即从业务和经济的角度来看,软件的生命周期包括四个主要阶段: ​ 起始阶段:有一个好的想法:具体构想产品的设想和它的业务案例,确定项目的范围 。 ​ 细化阶段: 计划必要的活动和所需资源,具体确定功能并设计构架 。 ​ 构建阶段: 构建产品, 发展最初的设想、构架和计划,直到一个能够交付给用户的产品(完毕后的设想)完毕。 ​ 移交阶段: 将产品移交用户使用,包含:交付、培训、支持、
IXTU12N06T-VB一种N沟道TO251封装MOS管
01-03
IXTU12N06T-VB是一种N沟道MOSFET,它采用TO-251封装,专门设计用于电源供应、二次同步整流和DC/DC转换器等应用。这款MOSFET具备以下特点: 1. **TrenchFET技术**:IXTU12N06T-VB采用TrenchFET结构,这是一种先进的...
VB.NET反编译
06-07
visual basic 反编译 更顺利读懂程序的好工具
有什么工具可能反编译VB.NET的工程?
山水的专栏
11-14 2194
http://www.aisto.com/roeder/dotnet/
.NET – 5个免费的反编译器
寒冰屋的专栏
09-15 8466
本文概述了5个免费的.NET反编译器。我们只关注您可以在非商业和商业环境中免费运行的免费工具。
关于 .Net 逆向的那些工具:反编译篇
rztyfx的专栏
11-09 4892
原贴地址:http://www.aneasystone.com/archives/2015/06/net-reverse-decompiling.html 关于 .Net 逆向的那些工具:反编译篇 在项目开发过程中,估计也有人和我遇到过同样的经历:生产环境出现了重大Bug亟需解决,而偏偏就在这时仓库中的代码却不是最新的。在这种情况下,我们不能直接在当前的代码中修改这个Bug然后发布
FL014N-VB一种N沟道SOT223封装MOS管
01-04
FL014N-VB是一种N沟道SOT223封装MOS管,主要特点是Halogen-free和TrenchFET Power MOSFET。该器件适用于便携式设备的负载开关等应用。 主要特征: * Halogen-free * TrenchFET Power MOSFET * N沟道MOSFET * SOT...
FDT439N-VB一种N沟道SOT223封装MOS管
12-22
FDT439N-VB是一款采用SOT223封装的N沟道金属氧化物半导体场效应晶体管(MOSFET),在电子电路设计中扮演着至关重要的角色。这种MOSFET以其高效能、小型化和易于集成的特点,广泛应用于电源管理、开关电源、马达驱动...
2N7002E-VB场效应管一款N沟道SOT23封装的晶体管
12-27
标题中的2N7002E-VB是指一款N沟道SOT23封装的晶体管,它是一种MOSFET(Metal-Oxide-Semiconductor Field-Effect Transistor),属于场效应管家族。MOSFET是一种常用的电子元器件,广泛应用于电子系统和电路中。 ...
EXE反编译工具VB版.7z
07-08
标题中的“EXE反编译工具VB版.7z”是指一个使用Visual Basic(VB)开发的程序,它能够对可执行文件(EXE)进行反编译,以揭示其内部的函数和代码结构。这样的工具对于编程学习者或者软件逆向工程爱好者来说极其有用...
VB.net反编译工具Reflector(支持C#、Delphi等).
04-29
很好用的VB.net,C#等反编译软件。 只需载入你要反编译的exe/dll 等文件就可以容易的看到里面结构和代码。
C#,VB反编译的好工具,可以轻松获取源码,简单!
02-22
C#,VB反编译的好工具,可以轻松获取源码,简单!! 很值得下载看看!资源免费,大家分享!!
C#和vb.net很好用的反编译软件
06-06
C#和vb.net很好用的反编译软件,可以反编译成C#,vb.net,deiphi,IL,MC++,Oxygene源码
绝对强悍的反编译工具,可以反编译C#.ENT,DELPHI,VB等多种语言
12-10
绝对强悍的反编译工具,可以反编译C#.ENT,DELPHI,VB等多种语言,并可以自动升级。
细说VB.NET(中)
hktl的专栏
03-24 772
 细说VB.NET(中)(作者:青苹果工作室编译 2001年03月07日 14:47)易于反编译的中间语言   无论你用VB、C#或其它.NET语言编写应用程序,VS.NET代码都编译成为中间语言(IL)。当应用程序运行时,一个即时编译器(JITter)处理IL代码并把它编译成为机器语言。这意味着在理论上可能为Windows以外的平台创建.NET运行库,但现在关于类似的事情还没有任何官方消息。中间
.net C#反编译及脱壳常用工具--小结
Blue
04-06 9021
.net C#反编译及脱壳常用工具--小结
VB程序的脱壳技巧
积累点滴,保持自我
06-06 4154
自己来解决吧,也许能搞出个自创的方法,叫什么Monster脱壳法。 在这里大家必须了解一引些小知识。 VB程序的启动方式:每个VB程序通常都会调用到许多的API,但是其中有一个API是雷 打不动的,这就是我们都知道的ThunRTMain函数。VB程序在运行时,都会首先调用 ThunRTMain函数,ThunRTMain函数将会为程序初始化进程,并获取进程ID等做一些
vb hslcommunication.modbus.modbustcpnet
最新发布
01-11
vb-hslcommunication.modbus.modbustcpnet是一个用于VB.NET编程语言的Modbus TCP/IP通信库。Modbus是一种通信协议,用于在主机和从机之间进行通信和数据交换。 vb-hslcommunication.modbus.modbustcpnet库能够帮助...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值