来源:fhod's Blog
作者:fhod 小财
说明:文章已发表于***手册07年10期,转载请注明出处!

对明小子QQ密码特工软件的分析 ----小财

今天无聊给一朋友讲解QQ盗取原理,从网上找了一个工具 “明小子QQ密码特工”结果发现这个软件有后门。下面就让我带着大家来分析一下。

首先我们用nod32来查一下有没有毒。图1
162404_588796658.jpg

看到了吧没有病毒。我们把监控打开在运行看看图2
162406_1437708246.jpg

看到了吧 NOD32检测到了病毒。为了确认一下。我再用‘***辅助查找器’的文件监视功能来检测下。

图3
162410_325898890.jpg

新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe

很明显软件本身在运行的同时释放了一个123.exe 而NOD32查杀到的也就是这个文件。

C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\

接着我们用peid查下123.exe. 图4
162421_1572619693.jpg

EP段.nsp1经常搞免杀的应该知道这是北斗加的壳&#x