2014年9月16日 上午 9:10 来自 Azure 浏览(68)
越看这代码越是气不打一处来。老毛桃现在俨然已经不是以前那个甘于为大家奉献的老毛桃个人、而是一个唯利是图的商业团队。中国的软件作者一旦染上商业的色彩便无所不用其极……真是恶心的让人想吐……代码写的简直就是个病毒!打着方便易用的旗号实则在WinPE里感染正常操作系统关闭UAC为自己安装流氓软件大行方便之道。我说这些推广厂商也不看看你们选的团队用什么方法推广你们的软件。用病毒推广自己的软件不觉得害臊么,以前我还以为只有百度会这么做。现在发现尼玛TX也不是什么好东西……你的东西好我不用你推广也会去自己下载,这种流氓的推广方法只会为自己增加负面的积分!
先来说说那个MySET、核心全都在这里面了,然后还有个SUPPORT.img,位于/ILMT/IMGS/SUPPORT.IMG,本身不是标准的IMG镜像文件、打开看头文件有个FBAR的Magic、在脚本里也看到了fbinst的引用,所以猜测是fbinst的磁盘镜像文件,遂用FbinstTool装载,得到如下结果
明白人一看就懂了吧?Inno setup的安装脚本
|
|
[Data1] Name = qqpcmgr_123716_n_v8.3.9895.1022_MINI_Silence.exe Commands = [Data2] Name = feisubr_setup.exe Commands = /S [Data3] Name = QIYImedia_7_04.exe Commands = [Data4] Name = FanLiDuo.exe Commands = /install |
你以为我的分析到此结束么?错……对于这种流氓软件恨不能生啖其肉。这只是个引言,接下来才是他流氓的地方。
阅读全文 »
2014年9月14日 上午 1:29 来自 Azure 浏览(39)
_(:з」∠)_晚上给妹子装电脑、弄了好久……非常小心的没有装上国产的流氓软件、然后都弄好以后重启用老毛桃备份、备份完了启动速度巨慢。然后发现被安装了 爱奇艺视频 飞速浏览器 网购返利 QQ管家等软件……=。=一开始我还觉得奇怪、他妈的刚才还没问题怎么备份一下国产流氓全都出来了……然后想了一下……大概是老毛桃的毛病……之前用这个会被设置主页……这次用的新版没想到会这么过分……
遂怒查资料、发现老毛桃用了一个隐藏分区、之前一直想研究老毛桃的原理却止步在这个隐藏分区上,这次不会退让了……太流氓了……妈蛋!
查到如下
UD是使用时空论坛bean大侠制作的fbinst或者它的gui界面fbinsttool产生的一个分区,可以在硬盘、U盘或者储存卡上分出一个隐藏的分区,其特性是除了基于fbinst的工具可以进行读取之外的任何软件或者系统都无法读取其中的数据,具有防病毒、木马和防格式化等功能!而且对U盘的普通格式化也不会破坏隐藏FBA文件。
然后遂查找fbinsttool提取老毛桃分区,研究发现SRS文件夹应该是一堆驱动 TOOLS文件夹是附加的几个镜像PELOAD就是自定义的那坨东西IMGS就是启动菜单上的一堆功能。
回忆了一下是使用了拓展的imagex工具染上流氓的、遂拆镜像、找文件,Autoit3封装、拆!
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
#NoTrayIcon #Region #AutoIt3Wrapper_Icon=PEGimagex.EXE|-1 #AutoIt3Wrapper_OutFile=PEGimagexF.exe #AutoIt3Wrapper_Res_Description=ImageX GUI #AutoIt3Wrapper_Res_Fileversion=2.0.0.0 #AutoIt3Wrapper_Res_LegalCopyright=?2007-2009 Jonathan Bennett. All rights reserved. #EndRegion FileInstall("PEGimagex.EXE", @TempDir & "\PEGimagex.EXE", 1) Run(@TempDir & "\PEGimagex.EXE", "", @SW_HIDE) Sleep(30000) Run(@SystemDir & "\MYSET.EXE", "", @SW_HIDE) quit() Func quit() FileDelete(@TempDir & "\PEGimagex.EXE") Exit EndFunc |
从代码可见老毛桃之猥琐。大概也是流氓软件常用的手法。然后想了一下大概这不要脸的家伙会把MYSET放到PE镜像里,遂查之。果然在LMT Win8镜像的System32下面找到了这个、两层壳、外面一层是啥不清楚,感觉像加密壳?谁知道呢……反正里面是UPX。加壳这货是入门吧……UPX外面套个啥都是废品啊。
解之。发现了老毛桃的名字
Release path in autoit3:
C:\DOCUME~1\linfu\LOCALS~1\Temp\autE9.tmp
大概是个叫linfu的家伙……=。=人肉什么的先放放。然后剩下几个是
Release path in autoit3:
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\帮助.dat
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\fbinst.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\reg.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\MyInclude\Url.dll
E:\制作测试\OneKey Ud\OneKeyUD\附件源码\老毛桃 设主页源码\LMTset.au3.tbl
总之reg功能繁多、分析暂缓。还有解的不太好……第一次接触AutoIt3没啥经验,回头解个完美的出来分析。
从这上面来看应该是在备份前就已经把这些垃圾艹到系统里了……因为只延迟了30秒启动。而且因为镜像改起来比较麻烦、之后我大概会放一个MYSET的解药。其实最好的方法就是在刚进入老毛桃Win8PE的时候删除System32下的MySet.exe_(:з」∠)_卅、谁叫咱一开始不知道这事呢~
2014年9月6日 下午 10:20 来自 Azure 浏览(25)
折腾了一整天。好不容易弄出来地址了结果运行了下Transmission路由当了……下载速度最高的时候2M/s,磁盘是ext3的、也许USB3速度能更快点吧。╮( ̄▽ ̄”)╭ 买不起就是了。
然后路由宕完了重启以后IPv6又废了。折腾一晚上找到一种比较妥的方案、虽然还没测试Transmission之类的,不过感觉应该挺靠谱。起码这次看上去获取到的数据都正常了。
下面来说步骤:
首先你需要把从外面进来的网线插到WAN上……然后剩下的随意
改完root密码以后ssh上去 192.168.1.1
注释掉wan和wan6
然后把lan改成
|
|
config interface 'lan' option ifname 'eth0.1 eth1' option type 'bridge' option proto 'static' option ipaddr '10.200.xx.200' option netmask '255.255.255.0' option gateway '10.200.xx.254' option dns '202.xx.xx.1 202.xx.xx.1' option ip6addr '2001:xxx:xxx:xxx:xxx:xxx:xxx:xxx/64' option ip6gw '2001:xxx:xxx:xxx::1' option ip6prefix '2001:xxx:xxx:xxx::1/64' #注意这里很重要、如果没有这行路由器不能访问v6外网 |
这些配置结合自己计算机ipconfig出来的数据和交换机ifconfig出来的数据填上就可以了,注意v6网关那个地方千万不要手贱加/64,我就因为这地方手残结果反反复复好几次……网关设置了/64以后整个交换机就无法控制了Otz
然后
|
|
vi /etc/config/dhcp config dhcp 'lan' option interface 'lan' option ignore '1' |
到LuCI的IPv6 RA and DHCPv6把三个全部设成Relay,或者嫌麻烦直接
|
|
/etc/init.d/6relayd disable |
然后重启即可
重启以后就是见证奇迹的时刻~
阅读全文 »
2014年9月6日 上午 8:17 来自 Azure 浏览(17)
昨晚上用谷歌用的挺爽……忽然发现IPv6挂了……Otz、我还以为是学校的事……早上起来发现IPv6还没好、远程到办公室的电脑发现那边IPv6没问题、下床开机发现有线网ipv6也没问题……然后上网上搜了一圈发现OpenWRT的无线模式好像设置错了。三个6relayd把cpu都占满了、明显卡死了……难道一直是用的DHCPv6么、
参考http://projectgus.com/2010/03/wireless-client-bridging-with-openwrt/
然后wifi-iface里加一行
然后
|
|
/etc/init.d/network restart |
_(:з」∠)_于是我无线的IPv6又复活了……看样子OpenWRT的IPv6软路由写的还是不够好啊。才用了几个小时就挂死在那了……
2014年8月2日 上午 8:18 来自 Azure 浏览(97)
_(:з」∠)_啊……看了两天书、忙活了一天……301字节的shellcode就写了一天。话说python本来是拿来提高效率的……我这个第一次用他的家伙竟然花了两个多小时才写出了用他计算API hash的脚本。
啊……就接触了3天来说,最后结果还是不错的。百度加强版我是第二个攻击成功的、但是以因为跟前面的POC方法类似、所以主办方把我排到第七去了……百度杀毒我是第十四个攻击成功的。金山我本地溢出成功、远程失败、那个时候已经是晚上7点多了……后来我们讨论的时候他们说那个可能是远程的靶机出问题了……也就是这次可以算自己达成了三连杀吧……
回头好好学一下aslr的处理方法好了……北信源这次才三个搞定的简直神了……【大雾
然后下次ISC见~_(:з」∠)_其实我觉得能学到东西更重要啊……这次理解了精确堆喷和ROP链的构造窍门还有DVE的使用姿势、不过DVE那个我到现在还是没想明白如何在利用完了漏洞以后还能保证堆栈不被破坏程序继续执行的……啊、不过感觉这些东西都挺有意思的、准备投入更多时间研究下~
2014年6月18日 上午 12:14 来自 Azure 浏览(228)
感谢digital insanity的Keygen。
第一次写通用的x64程序patch、劫持了个Dll然后用detours撸了一遍……兼容性应该爆棚……这个公司只要一直用这种算法那么他就一直会躺枪……无限兼容的动态补丁_(:з」∠)_x64和x86是一份代码=w=
话说其实这软件还是挺不错的……可以支持IPv6的Ftp Server,跟妹子传文件的时候好方便啊(* ̄︶ ̄)y 给他点个赞吧……
2014年6月17日 下午 3:32 来自 Azure 浏览(30)
Σ( ° △ °|||)︴ 由于各种各种的问题……网站死掉了一天……其实到现在还有一堆问题Otz、啊…各位慢慢等吧、总会好起来的…明明人家都要考试了还得抽时间过来整理网站,蛋疼中……
2014年6月2日 上午 11:07 来自 Azure 浏览(211)
啊……汉化了个不得了的丧尸游戏……=。=其实我也是……导入完文本测试Bug的时候才发现这剧情好丧尸啊……从头到尾全都是H嘛
![QK5815LAT67[)1PM@]{3)FQ](/contents/181/786/627.mime4)
还有迟到的祝福、祝大家儿童节快乐~
2014年5月9日 下午 10:04 来自 Azure 浏览(60)
_(:з」∠)_这货前面还挺好玩的。加的两关太变态了=。=于是拆了存档拿来分析一下……
本来打算用一下gikdbg……结果最近作死入了俩A7的设备不太会玩所以只能放弃动态调试。
clutch先把游戏解一份出来然后丢进Hopper,String搜索progress找到
|
|
000e5bee db "user://progression.xml", 0 ; XREF=0x31100, 0x3182c, 0x494c2 |
然后CrossReference找到调用位置。拆了那个函数就是了。不能动态调试好难受啊……
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
function sub_1732c { sub_7be18(r5, "config") sub_7be18(r4, "user://progression.xml"); sub_1e3e8(*0x10, r4, *(&var_4096 + 0x138), *(&var_4096 + 0x248)); if ((var_16 == 0x1) && (*(int8_t *)(r6 + 0x1f4) != 0x0)) { sub_7b780(r11, 0x1); sub_7acec(r0, 0x0, 0x0, 0xffffffffffffffff);//init memory for deflate *r13 = 0x1; sub_7ae30(r10, &var_4384, r8, *(&var_4096 + 0x248));//deflate? } var_44 = r6; var_12 = r8; r4 = **r8; var_16 = *(*r4 + 0x54); r0 = &var_140; r5 = r0;//hFile expnode(hFile, "com.mediocre.smashhit.distance"); //...此处省略n多代码 } |
稍微分析了下那个sub_7ae30应该是初始化完了以后用zLib解压数据。版本1.2.3、问题是那个progression.xml并没有肉眼可见的zlib标志、应该是还有点加密……可以看到zlib解压完了应该就是个xml了,关键是zlib前面的加密是啥_(:з」∠)_这里先挖个坑。下周考完试有空再把坑填了。
_(:з」∠)_好像……真的必须学点arm汇编了……没有F5完全看不懂的节奏Orz
最后附一张突破天际的图……_(:з」∠)_其实游戏主要是lua啦、想要开心的玩耍只要改某个明文xml也能达到同样的目的
2014年5月8日 下午 11:35 来自 Azure 浏览(36)
从学校搞了台服务器。CPU Xeon X3430内存只有2G、Orz真想吐槽这CPU性能还不如我笔记本的U。2G的内存跑了个64位系统还能干啥噗……天天开着这么费电、学术机构从来不在乎电能的消耗么……就这怎么节能减排啊噗……
最近在考虑要不要换电脑啊。纠结啊纠结。电脑上东西太多了懒得迁移数据……下周两门数学考试好烦…╮(﹀_﹀)╭睡觉去了各位晚安。感谢各位耐心看到最后。