前幾天有基友在群裡發了一個shift後門求逆,最近正好開始學習一些逆向知識,就下載下傳下來練練手。
下載下傳下來拖入虛拟機打開,5下shift運作後發現是一個高仿shift後門,peid查殼是ASProtect殼,載入OD腳本脫殼,把脫殼之後的程式再次拖入peid,發現是一個VB寫的後門。
高仿shift後門需要激活,一般的激活方式就是滑鼠動作激活或者熱鍵激活。用VB Decompiler把程式反編譯,雖然不能把整個程式全部反編譯,但是也是能擷取一些有效資訊。
該程式有三個窗體,發現Login窗體是一個登入的窗體,看樣子還需要密碼才能進去啊。在該窗體的代碼中發現有'wth1988'這樣的字元串(用OD同樣可以發現),因為有個if語句感覺這個像是登入的密碼,先記錄下來,如果不對的話就要用OD動态分析了。
下面來分析激活方式,一般滑鼠動作直接用檢視PE檔案資源的工具進行分析,如果是鍵盤事件就要動态跟蹤了。仔細分析了上面的代碼發現在Form1窗體中有4個Click事件,其中三個都是高仿的按鈕,但是有一個Label控件很可疑,初步分析該後門是用滑鼠動作激活的。用PE Explorer工具打開程式,但是發現什麼資源都沒有,後來讓基友曉毛毛幫我看了下,他分析出來了激活區域然後推薦了VBExplorer讓我試試。用這個工具打開程式檢視Label控件屬性:
控件的位置是右下角,來點選看看:
果然是滑鼠動作激活,輸入剛才的字元串:
成功進入後門。