中国黑客业务团队承接一切网站入侵业务,服务器入侵业务,文件加密,文件解密,办公系统入侵,电脑远程控制等业务
联系我们:
技术支持
技术支持








reversing the virus—逆向分析阿拉密码潜伏者

 某某机油写的!

无意中翻出阿拉木马潜伏者 机器里工具空空 下载ida pro   olladbg 简单分析了下;
peid查之 vc++写的 :

这三个东西:


一看就知道 win application;
继续之winmain里是俩个 CreateThread和俩个Sleep 很普通的方法;

StartAddress ;sub_401F90俩个地址函数 可以进去看看;我们进去这里

大家可以看到 熟悉的getmodulehandle()这个函数获得user32.dll的句柄;
GetProcAddress获得SetLayeredWindowAttributes此函数地址并放在eax里;
很明显一会会用到这个函数;
下面看这个函数 DialogBoxParam  感觉作者是个wingui 大师 后面的东西 好多
gui hack;
函数功能:该函数根据对话框模板资源创建一个模态的对话框。在显示对话框之前,
函数把一个应用程序定义的值作为WM_INITDIALOG消息的IParam参数传到对话框过程,应用程序可用此值来初始化对话框控制。
函数原型:int DialogBoxParam(HINSTANCE hlnstance,LPCTSTR IpTemplateName,HWND hWndParent,
DLGPROC IPDialogFunc,LPARAM dwlnitParam);
重点在这里  亲们IPDialogFunc 指向对话框过程 说明什么?
说明这里创建了一个对话框  ;
好的 我们先看后面 等下再trace这里 先面试一个详细循环哦 很典型的mfc的thing;
跟进  IPDialogFunc 看下创建什么窗口;

很典型的guihack看到这三个函数 我笑了;

[1] [2] [3]  下一页