どういうことよ 【作者、意図的なウィルスか】
>>611
疲れたので途中までで勘弁して。
このソフトどうやらリバースエンジニアリングを禁止していないみたいなので、勢いよく
w32dasmにかけてみた。たまたまVirtual PCにWindows 2000があったので、undo diskを
有効にして感染させるおまけつき。
まずトロイ自体を生成する部分は4029ECから。何だかSHGetFolderPathしてみたり
SHGetSpecialFolderLocationしてみたり1個でいいじゃん?と言うツッコミは無しにして、
まぁランダムにファイル名を生成して402C60でCreateFile→トロイ書き込み。
ところで、このトロイ生成部分は41E609・41E65C・41E666の3カ所から呼ばれてる
んだけど、41E3D0から始まる一連のシリアル・パスワードチェックのうちいくつかの部分で
引っかかると発動する仕掛けみたい。具体的には
・41E607
・41E636
・41E63E・41E646・41E650
の3部分(都合5カ所)からなんだけど、これらの条件が何なのかがまだ不明なのよね。
41E61Aから一生懸命何かを照合しては分岐してを繰り返しているので、ここが仮に
シリアルかパスワードを個別にチェックしているのであれば「正規シリアルは通らない」
って確証になるんだけど、その確認にはesiに何が入っているのか見ないといけないから…
続きはどなたかにお願いしたい。
・4029ECにブレイク仕掛けておけば感染の心配なし
・41E678に飛んだ場合はパスワード誤り(多分感染なし)
・41E6A9に飛んだ場合は照合クリア
で何とかなると思うです。はい。
疲れたので途中までで勘弁して。
このソフトどうやらリバースエンジニアリングを禁止していないみたいなので、勢いよく
w32dasmにかけてみた。たまたまVirtual PCにWindows 2000があったので、undo diskを
有効にして感染させるおまけつき。
まずトロイ自体を生成する部分は4029ECから。何だかSHGetFolderPathしてみたり
SHGetSpecialFolderLocationしてみたり1個でいいじゃん?と言うツッコミは無しにして、
まぁランダムにファイル名を生成して402C60でCreateFile→トロイ書き込み。
ところで、このトロイ生成部分は41E609・41E65C・41E666の3カ所から呼ばれてる
んだけど、41E3D0から始まる一連のシリアル・パスワードチェックのうちいくつかの部分で
引っかかると発動する仕掛けみたい。具体的には
・41E607
・41E636
・41E63E・41E646・41E650
の3部分(都合5カ所)からなんだけど、これらの条件が何なのかがまだ不明なのよね。
41E61Aから一生懸命何かを照合しては分岐してを繰り返しているので、ここが仮に
シリアルかパスワードを個別にチェックしているのであれば「正規シリアルは通らない」
って確証になるんだけど、その確認にはesiに何が入っているのか見ないといけないから…
続きはどなたかにお願いしたい。
・4029ECにブレイク仕掛けておけば感染の心配なし
・41E678に飛んだ場合はパスワード誤り(多分感染なし)
・41E6A9に飛んだ場合は照合クリア
で何とかなると思うです。はい。
|
|
|