逆向“恶搞锁机”程序
1 背景
汇编语言学习了一段时间了,一直感觉没有正经的做点东西,可是一般的应用程序用汇编做起来又觉得没有太大的意思,正好一个网上的朋友发来个小程序,运行后会创建一个新账户,并设置了密码,并且将当前的windows账号注销,登录新创建的账户,从而达到让用户登录不了的目的,代码不大,索性反汇编一下,因为是新手练习,并没有学习过如何进行真正逆向,所以大家不要嘲笑思路不新颖,工具使用不熟练,权当入门的练手记录。
2 使用工具
运行环境:VMware Workstation 10.0.1
虚拟机上搭载的操作系统:Windows XP Service Pack 3
PE工具:PEiD 0.95
反汇编工具:IDAPro6.6
二进制编辑器:UltraEdit 21.30
3 目的
反汇编出恶意程序添加账号对应的密码,能够顺利登录进入到桌面。
4 逆向过程
4.1 观察运行现象
①首先运行虚拟机,进入到虚拟机操作系统桌面中,将恶意程序拷贝直桌面上。
②将虚拟机进行拍摄快照,这一步很重要,因为要比对运行恶意程序之前和之后的现象,可能需要反复比对,或是在调试时不小心运行了,有补救的机会,如果使用物理机进行反复的系统恢复,可能会麻烦的多。
③运行恶意程序,观察现象。
注:不是所有的恶意程序放在虚拟机中运行就万无一失。
发现原来的账户