逆向“恶搞锁机”程序课案.doc

逆向“恶搞锁机”程序 1 背景 汇编语言学习了一段时间了，一直感觉没有正经的做点东西，可是一般的应用程序用汇编做起来又觉得没有太大的意思，正好一个网上的朋友发来个小程序，运行后会创建一个新账户，并设置了密码，并且将当前的windows账号注销，登录新创建的账户，从而达到让用户登录不了的目的，代码不大，索性反汇编一下，因为是新手练习，并没有学习过如何进行真正逆向，所以大家不要嘲笑思路不新颖，工具使用不熟练，权当入门的练手记录。 2 使用工具 运行环境：VMware Workstation 10.0.1 虚拟机上搭载的操作系统：Windows XP Service Pack 3 PE工具：PEiD 0.95 反汇编工具：IDAPro6.6 二进制编辑器：UltraEdit 21.30 3 目的 反汇编出恶意程序添加账号对应的密码，能够顺利登录进入到桌面。 4 逆向过程 4.1 观察运行现象 ①首先运行虚拟机，进入到虚拟机操作系统桌面中，将恶意程序拷???直桌面上。 程序图标 ②将虚拟机进行拍摄快照，这一步很重要，因为要比对运行恶意程序之前和之后的现象，可能需要反复比对，或是在调试时不小心运行了，有补救的机会，如果使用物理机进行反复的系统恢复，可能会麻烦的多。 ③运行恶意程序，观察现象。 注：不是所有的恶意程序放在虚拟机中运行就万无一失。 发现原来的账户已经注销，登录账户变成了“是”，并且再使用原来的密码已经登录不上了，从表象上发现，这个程序就是让电脑的使用者在运行程序后，无法登录到系统中，知道了这个现象之后，就大约知道这个程序的本意是什么了。 通过快照功能将虚拟机程序恢复。 4.2 确认恶意程序的开发语言 运行PEiD 0.95工具，将恶意程序加载进去，发现改程序是由Microsoft Visual C++ v6.0进行开发的。 该工具不仅可以查看编程语言，还可以进行脱壳等工作，这次不做讲述。 4.3 反汇编过程 对于反汇编，本人虽然是刚刚尝试，但是总感觉, 如果不是将其所有功能进行还原的话,就不需要对所有的汇编代码都进行阅读，而是尽量的从现象和汇编代码上来了解其流程，进而推测其整个架构。 好了，以下只谈论针对该程序的分析思路。 将程序加载进IDA中，因为虚拟机的操作系统为32位的，该程序能够运行，所以肯定使用IDA的32位版本运行。 因为使用VC6.0开发的exe，并且能够在windowsXP上运行，所以文件结构选择PE。 反汇编成功后，可以看出函数的入口已经被反汇编出来了，为WinMain，可以判断出该程序应该为一个win32程序。这段程序很简单，就是进入函数入口后，将传入的参数hInstance、hPrevInstance、lpCmdLine、nShowCmd这四个参数再次压入栈中，然后再调用sub_45BC3D函数，压入栈的意思就是，将这几个参数再次作为sub_45BC3D函数的参数传入。调用完成后，返回，调用retn 10h，为什么是10h呢？这个问题需要顺便说下栈平衡，简单的说下，就是在函数调用的时候，会将参数压到栈中，esp指针会减小，当函数返回的时候，表示函数的调用完成，将esp的指针再回到函数调用之前的位置之上，这样才能使当前的函数在调用完其他函数后，还能够正确的使用当前栈中的内容。回到为什么是10h这个问题上，因为压栈的参数大小为10h，怎么算的呢，可以看到代码， hInstance= dword ptr 4 hPrevInstance= dword ptr 8 lpCmdLine= dword ptr 0ch nShowCmd= dword ptr 10h 所有参数的大小都是dword，也就是4字节，而总共4个参数，那么就是16个字节的大小，转换成16进制，就变成了10h，所以在函数调用结束后，需要用10h的大小来恢复栈。 为什么是10呢？ 好了，接着往下看代码，双击进入到sub_45BC3D 函数中。 又看到了一堆的代码，可以看到，调用了AfxGetThread()函数与AfxGetStaticModuleState()，调用了AfxWinInit()函数，然后还判断了AfxWinInit()函数的返回值，如果等于0时会跳到loc_45BC7D执行，如果不等于0跳到别处执行。好吧，这样一层层的看，肯定能把程序看的明白，找到添加的账户密码，可是这样的话，估计要花费点时间。 但是反汇编的时候尽量的多观察观察现象，然后推测下程序的写法，然后直接定位关键代码处，说不准能够达到事半功倍的效果。 还记得在运行恶意程序之后，会有两个DOS窗口弹出么？弹出完之后，当前的账户开始注销。 对就是这个对话框，当时的第一反应是，这个程序不会是应用程序调用DOS命令来执行的吧