Board logo

标题: 解开<批处理潜行者>的秘密, 让我们自己也写一个潜行者 [打印本页]

作者: gfwlxx    时间: 2013-6-26 03:07     标题: 解开<批处理潜行者>的秘密, 让我们自己也写一个潜行者

本帖最后由 gfwlxx 于 2013-6-26 03:14 编辑

在整理电脑中文件, 翻到了一些控制台工具,
我整理文件的方法是: 全部重写,然后把代码保存到我的类库中! 写一个删一个,
控制台的小程序一点技术含量都没有 我花了几个小时, 我已经把WinEggDrop的所有控制台程序集都重写了一边, 然后都删除了

现在翻到 <命令行第三方汇总.rar> 这个文件, 是从这个论坛下的,
一些没有任何技术含量的工具, 最下面开始数是 <批处理潜行者>, 这个文件用了点隐藏的技术 顺便就发个帖出来
有5.0, 6.0 两个版本, 拿6.0来开刀
------------------------------------------------
批处理潜行者 分析:

方法1:  简单文件分析法
a. 生成
生成的时侯会观察到会生成这个文件:
c:\Program Files\1kTempe.dll
有兴趣的可以追中一下
b.hex
你可以看到它会把批处理附加到文件尾
[attach]6517[/attach]
c.运行
发现 会创建 C:\CSK.DLL
关键在后面: "C:\Program Files\Common Files\1kTemps.bat"    // 最后潜行的批处理会出现在这里
注: 批处理内容为 echo %0 & pasue - 呵呵, 最后那个创建的地方, 用文件监视器是追踪不到的.

-----------------------------------------
2.逆向分析, 自己编写:
程序大家可以从 - 命令行第三方汇总.rar 下载

a.脱壳
加壳强壳, ASProtect,
难不倒我, 三下五除二, 可以追踪到OEP是 00297000, od脱壳之 然后修复一下输入表
[attach]6515[/attach]
可以看到程序是用delphi写de : Borland Delphi 6.0 - 7.0

b.强奸
[attach]6518[/attach]
[attach]6519[/attach]

从脱壳的文件中提取而来五个head文件,
其中head3为批处理文件, 转换为明码后

他使用了unicode方式的, 转换后为
&cls
@if not exist "%~f1" (@echo File doesn't exist!&@goto :eof) else (echo exit|cmd /kprompt e100 FF FE 20 26 63 6C 73 0D 0A $_rcx$_9$_n t12.5$_w$_q$_|debug>nul&&@copy t12.5+"%~f1" "%~dpn1"_jm.bat>nul&&echo Successful!&del t12.5)
作者: gxuan2008    时间: 2013-6-26 09:07

牛人。。。
作者: Demon    时间: 2013-6-26 11:41

怎样才能成为至尊VIP




欢迎光临 批处理之家 (http://www.bathome.net/) Powered by Discuz! 7.2