易语言钓鱼源码_觅风现在还做易语言吗

易语言钓鱼源码_觅风现在还做易语言吗水平有限请轻喷.这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.其实我也没用过易语言,但在我看来(可能是我水平不高看不出来) 病毒内部循环繁杂无章,启动较慢… 简单差了一下程序没有加壳病毒很简单没加壳,这也是我第一次分析易语言. 没有什么特别的技巧,OD载入跟

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

水平有限 请轻喷.

这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.

易语言钓鱼源码_觅风现在还做易语言吗



其实我也没用过易语言,但在我看来(可能是我水平不高看不出来病毒内部循环繁杂无章,启动较慢

 

简单差了一下程序没有加壳

易语言钓鱼源码_觅风现在还做易语言吗



病毒很简单没加壳,这也是我第一次分析易语言没有什么特别的技巧,OD载入跟随.

 

具体过程很简单F8如果程序跑起来就断点,跟进去.  繁杂的过程就不写了,没什么意思

下面来看看几个比较有意思的地方

易语言钓鱼源码_觅风现在还做易语言吗


发现setwindowspos函数发现这里有一个循环.果断下断点

第一次到这个函数,出现这样的选项

看到这里窗口句柄居然有一串中文   觉得很可能是一个模板木马生成的东西.

中共运行8次之后才跑过此段点,8个窗口想做什么?.

 

继续跟进,里面循环函数实在太多估计是作者为我们设置的障碍什么的,果断放弃了继续跟随.直接让程序跑起来.

随便输入一个账户和密码,发现会弹出一个MessageBox 消息框.  

易语言钓鱼源码_觅风现在还做易语言吗

 

 

返回OD  CTRL+N找到MessagBox下断点.

易语言钓鱼源码_觅风现在还做易语言吗

 

然后重新来一次.. 在此画个圈圈诅咒作者把程序写的这么慢,让我等好久.

果然在此处断了下来,

易语言钓鱼源码_觅风现在还做易语言吗

 

然后ctrl+k 显示堆栈调用

易语言钓鱼源码_觅风现在还做易语言吗

 

进入上面这个地址,就是他调用的messagbox

易语言钓鱼源码_觅风现在还做易语言吗

然后往上看,发现还是一个被调用的函数..

再看看堆栈窗口

易语言钓鱼源码_觅风现在还做易语言吗

进去一看发现了很多惊喜

易语言钓鱼源码_觅风现在还做易语言吗

这么多jmp  我觉得点登陆 必有一中全部下断点    额上面注释我懒得抹了,各位看官请忽略…..

再次重新载入一次再次诅咒下作者程序跑的这么慢

 

输入密码点登陆  果然断下 然后跟进,但并没到达目的地.  不过我相信胜利的曙光一定在我前面!

正常人应该不会写成不点登陆就把密码发出去吧“““““`

然后继续苦逼的跟进,,,直到这里

易语言钓鱼源码_觅风现在还做易语言吗

 

感觉关键的地方来了  

易语言钓鱼源码_觅风现在还做易语言吗

打开IDA  g 输入 00460060  然后F5查看源代码  这个地址,为什么这关键呢看下面    函数很长我就截取一部分了

易语言钓鱼源码_觅风现在还做易语言吗

 

第一眼看见 HttpSendRequestA   我就乐开了花哈哈即使不懂这个API   看这个字面意思也懂了.

CTRL+N

易语言钓鱼源码_觅风现在还做易语言吗

这三个API下断点,然后运行

易语言钓鱼源码_觅风现在还做易语言吗

 

易语言钓鱼源码_觅风现在还做易语言吗

 

 

易语言钓鱼源码_觅风现在还做易语言吗

 

易语言钓鱼源码_觅风现在还做易语言吗

 


另外 在00461960函数内 还有smtp发送邮件方式  不过并没有调用 

易语言钓鱼源码_觅风现在还做易语言吗

在IDA里向上跟跟看

易语言钓鱼源码_觅风现在还做易语言吗


通过这种方法一次向上寻找地址然后OD里下段点. 均无一处断下



下面试试添加yara规则,然后扫描..   很好用的一个东西

易语言钓鱼源码_觅风现在还做易语言吗 

 好了 这就完了,  接触逆向时间不长,水平有限欢迎指点.


样本解压密码

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/172693.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 浏览器被hao.360.cn劫持怎么办

    浏览器被hao.360.cn劫持怎么办特么的现在互联网太没节操了,一大早发现我的浏览器被hao.360.cn劫持了,弄了好久都没弄好,后来一想可能是因为qvod的原因,这可是哥当年看片的神器啊……废话不说:1,进入:C:\ProgramData\QvodPlayer\QvodWebBase2,点开1.0.0.53(或者其它)文件夹3,直接删除里面的文件是删除不了的。更改QvodWebBase64.dll后缀名为QvodWebB…

  • MUX VLAN详解与配置实例「建议收藏」

    MUX VLAN详解与配置实例「建议收藏」今天给大家介绍MUIXVLAN的相关理论知识,同时使用华为eNSP模拟器,完成了企业网中常见的MUXVLAN配置。一、MUXVLAN原理MUXVLAN是一种VLAN控制层面的访问控制技术,使用MUXVLAN,可以实现VLAN间的流量隔离,并且比较灵活的提供了多种实现方式。MUXVLAN存在主VLAN(SubordinateVLAN)、隔离性VLAN(SeparateVLAN)、**互通性VLAN(GroupVLAN)**三种类型的VLAN。其中隔离性VLAN和互通型VLAN又被称为从

  • pycharm企业版激活码(破解版激活)

    pycharm企业版激活码(破解版激活),https://javaforall.cn/100143.html。详细ieda激活码不妨到全栈程序员必看教程网一起来了解一下吧!

  • flyme开放平台_uniapp重定向

    flyme开放平台_uniapp重定向#功能概述[Fly.js](https://github.com/wendux/fly)一个基于Promise的、强大的、支持多种JavaScript运行时的http请求库.有了它,您可以使用一份http请求代码在浏览器、微信小程序、Weex、Node、ReactNative、快应用中都能正常运行。同时可以方便配合主流前端框架,最大可能的实现WriteOnceRunEverywh…

  • 被面试官问懵B了,十亿级数据ES搜索怎么优化?

    面试题 es 在数据量很大的情况下(数十亿级别)如何提高查询效率啊? 面试官心理分析 这个问题是肯定要问的,说白了,就是看你有没有实际干过 es,因为啥?其实 es 性能并没有你想…

  • tensorflow tensor转numpy

    tensorflow tensor转numpysess=tf.Session()withsess.as_default():change=tf.expand_dims(tf.reshape(batch_rodrigues((np.array(gt_data[‘pose_0’]).flatten()).reshape(-1,3).astype(np.float32)),(24,3,3)),0)gt_data[‘po.

    2022年10月19日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号