Поиск по этому блогу

вторник, 26 апреля 2011 г.

Trojan.WinLock.2430

Этот вид баннеров уже как-то ушел в небытиё.Написаны были на VB 6.0

Для того,чтобы найти код
 - грузимся на виртуальной машине
 - запускаем Desktop (утилита Русиновича для переключения рабочих столов)...настраиваем клавишу переключения (у меня например Win+2). И переключаемся на 2 рабочий стол.
 - загружаем модифицированный OllyDBG (главное чтобы там была панелька.....это подключенный плагин) и командная строка(тоже плагин).




 - переключаемся на 1 рабочий стол и запускаем винлок.
 - переключаемся на 2 рабочий стол и присоединяемся к процессу в дебагере.


-нажимаем F9 (это снимет с паузы процесс)
-щелкаем по кнопке K на панельке


 - далее щелкаем два раза на любой процедуре (выделено желтым) и попадаем в окно кода.
 - щелкаем правой кнопкой AnalizeThis! (это тоже подключаемый плагин) .
 - переключаемся на первый рабочий стол (там где винлок на весь экран) . И вводим любой текст, например я ввожу mrbelyash и нажимаем кнопку OK
 - переключаемся на второй экран (там где дебагер)
- внизу дебагера есть командная строка...в ней вводим bpx get


- попадаем в окно вызываемых функций...Ищем строчку GetDlgItemTextA
- дважды по ней щелкаем мышкой и попадаем в окно кода.
- опускаемся немного ниже и ищем слово которое мы ввели (mrbelyash). В дебагере видно как реальный пароль сравнивается с введенным нами словом.



Собственно все.
---------------------------------------------------------------------------------------------------------
А вот и видео



P.S.
 Я немного обманул про  GetDlgItemTextA лучше конечно будет щелкунуть по lstrcmpA это сама команда сравнения...тогда вы сразу же попадете на код....

 
 

Комментариев нет: