作者:fhod 小财
说明:文章已发表于***手册07年10期,转载请注明出处!
对明小子QQ密码特工软件的分析 ----小财
今天无聊给一朋友讲解QQ盗取原理,从网上找了一个工具 “明小子QQ密码特工”结果发现这个软件有后门。下面就让我带着大家来分析一下。
首先我们用nod32来查一下有没有毒。图1
![162404_588796658.jpg](https://i-blog.csdnimg.cn/blog_migrate/de584ca83988518fb06c1d16db13f5dd.png)
看到了吧没有病毒。我们把监控打开在运行看看图2
![162406_1437708246.jpg](https://i-blog.csdnimg.cn/blog_migrate/e742cdfda726a635aa6d658648480b99.png)
看到了吧 NOD32检测到了病毒。为了确认一下。我再用‘***辅助查找器’的文件监视功能来检测下。
图3
![162410_325898890.jpg](https://i-blog.csdnimg.cn/blog_migrate/5534bff671eae8a8f88ea8b86463331b.png)
新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe
很明显软件本身在运行的同时释放了一个123.exe 而NOD32查杀到的也就是这个文件。
C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\
接着我们用peid查下123.exe. 图4
![162421_1572619693.jpg](https://i-blog.csdnimg.cn/blog_migrate/79598ee9f69ebd649fab7ba9d8b2ac69.png)
EP段