易语言钓鱼源码_觅风现在还做易语言吗

易语言钓鱼源码_觅风现在还做易语言吗水平有限请轻喷.这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.其实我也没用过易语言,但在我看来(可能是我水平不高看不出来) 病毒内部循环繁杂无章,启动较慢… 简单差了一下程序没有加壳病毒很简单没加壳,这也是我第一次分析易语言. 没有什么特别的技巧,OD载入跟

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

水平有限 请轻喷.

这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.

易语言钓鱼源码_觅风现在还做易语言吗



其实我也没用过易语言,但在我看来(可能是我水平不高看不出来病毒内部循环繁杂无章,启动较慢

 

简单差了一下程序没有加壳

易语言钓鱼源码_觅风现在还做易语言吗



病毒很简单没加壳,这也是我第一次分析易语言没有什么特别的技巧,OD载入跟随.

 

具体过程很简单F8如果程序跑起来就断点,跟进去.  繁杂的过程就不写了,没什么意思

下面来看看几个比较有意思的地方

易语言钓鱼源码_觅风现在还做易语言吗


发现setwindowspos函数发现这里有一个循环.果断下断点

第一次到这个函数,出现这样的选项

看到这里窗口句柄居然有一串中文   觉得很可能是一个模板木马生成的东西.

中共运行8次之后才跑过此段点,8个窗口想做什么?.

 

继续跟进,里面循环函数实在太多估计是作者为我们设置的障碍什么的,果断放弃了继续跟随.直接让程序跑起来.

随便输入一个账户和密码,发现会弹出一个MessageBox 消息框.  

易语言钓鱼源码_觅风现在还做易语言吗

 

 

返回OD  CTRL+N找到MessagBox下断点.

易语言钓鱼源码_觅风现在还做易语言吗

 

然后重新来一次.. 在此画个圈圈诅咒作者把程序写的这么慢,让我等好久.

果然在此处断了下来,

易语言钓鱼源码_觅风现在还做易语言吗

 

然后ctrl+k 显示堆栈调用

易语言钓鱼源码_觅风现在还做易语言吗

 

进入上面这个地址,就是他调用的messagbox

易语言钓鱼源码_觅风现在还做易语言吗

然后往上看,发现还是一个被调用的函数..

再看看堆栈窗口

易语言钓鱼源码_觅风现在还做易语言吗

进去一看发现了很多惊喜

易语言钓鱼源码_觅风现在还做易语言吗

这么多jmp  我觉得点登陆 必有一中全部下断点    额上面注释我懒得抹了,各位看官请忽略…..

再次重新载入一次再次诅咒下作者程序跑的这么慢

 

输入密码点登陆  果然断下 然后跟进,但并没到达目的地.  不过我相信胜利的曙光一定在我前面!

正常人应该不会写成不点登陆就把密码发出去吧“““““`

然后继续苦逼的跟进,,,直到这里

易语言钓鱼源码_觅风现在还做易语言吗

 

感觉关键的地方来了  

易语言钓鱼源码_觅风现在还做易语言吗

打开IDA  g 输入 00460060  然后F5查看源代码  这个地址,为什么这关键呢看下面    函数很长我就截取一部分了

易语言钓鱼源码_觅风现在还做易语言吗

 

第一眼看见 HttpSendRequestA   我就乐开了花哈哈即使不懂这个API   看这个字面意思也懂了.

CTRL+N

易语言钓鱼源码_觅风现在还做易语言吗

这三个API下断点,然后运行

易语言钓鱼源码_觅风现在还做易语言吗

 

易语言钓鱼源码_觅风现在还做易语言吗

 

 

易语言钓鱼源码_觅风现在还做易语言吗

 

易语言钓鱼源码_觅风现在还做易语言吗

 


另外 在00461960函数内 还有smtp发送邮件方式  不过并没有调用 

易语言钓鱼源码_觅风现在还做易语言吗

在IDA里向上跟跟看

易语言钓鱼源码_觅风现在还做易语言吗


通过这种方法一次向上寻找地址然后OD里下段点. 均无一处断下



下面试试添加yara规则,然后扫描..   很好用的一个东西

易语言钓鱼源码_觅风现在还做易语言吗 

 好了 这就完了,  接触逆向时间不长,水平有限欢迎指点.


样本解压密码

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/172693.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • StretchDIBits函数

    StretchDIBits函数引用:http://blog.csdn.net/giantchen547792075/article/details/6996011The StretchDIBits functioncopiesthecolordataforarectangleofpixelsinaDIB,JPEG,orPNGimagetothespecifieddestination

  • siamfc++代码_c语言代码怎么理解

    siamfc++代码_c语言代码怎么理解文章目录前言一、论文翻译二、论文代码1.backbone网络前言记录自己阅读复现SiamFC的全过程,包括论文翻译,代码理解等一、论文翻译论文原文:链接:https://pan.baidu.com/s/1wvXra0Ji6L9IMVZikaUs9Q提取码:s7t3本文是Siam系列跟踪论文的开篇之作,兼容了速度与精度,引起跟踪社区极大的关注。论文中对一些细节描述分非常充分,适合精读本文。二、论文代码代码参考;https://github.com/HonglinChu/SiamTra.

  • es6模板字符串_es6模板差值

    es6模板字符串_es6模板差值ES6模板字符串

  • mt4交易软件云服务器_MT4交易软件的使用教程及快捷键「建议收藏」

    mt4交易软件云服务器_MT4交易软件的使用教程及快捷键「建议收藏」点击热键F11,客户端转换为全屏模式。在全屏模式下调用功能键使用如下:Ctrl+M-MarketWatch(?市场观察?);Ctrl+N-Navigator(?导航?);Ctrl+T-Terminal(?终端?);Ctrl+D-Datawindow(?数据窗口?).还原一般形态重按热键F11。***选择热键操作可以快速将指标,智能交易或脚本添加到图表中。这种形式在全…

  • Java使文本框失去焦点的方法,使文本框text1获得焦点,js使文本框失去焦点

    Java使文本框失去焦点的方法,使文本框text1获得焦点,js使文本框失去焦点本文实例讲述了JavaScript实现文本框中默认显示背景图片在获得焦点后消失的方法。分享给大家供大家参考。具体如下:  html代码:  ?12345678…

  • php小程序接口开发_php的api调用方法

    php小程序接口开发_php的api调用方法微信小程序调用PHP后台接口,解析纯html文本,效果图片预览1、微信js动态传参:wx.request({url:’https://m.****.com/index.php/Home/Xiaoxxf/activity_detail?a_id=’+options.id,//含富文本htmldata:{is_detail:1},method:’GET’,//OPTIONS,GET,HE…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号