前几天有基友在群里发了一个shift后门求逆,最近正好开始学习一些逆向知识,就下载下来练练手。
下载下来拖入虚拟机打开,5下shift运行后发现是一个高仿shift后门,peid查壳是ASProtect壳,载入OD脚本脱壳,把脱壳之后的程序再次拖入peid,发现是一个VB写的后门。
高仿shift后门需要激活,一般的激活方式就是鼠标动作激活或者热键激活。用VB Decompiler把程序反编译,虽然不能把整个程序全部反编译,但是也是能获取一些有效信息。
该程序有三个窗体,发现Login窗体是一个登录的窗体,看样子还需要密码才能进去啊。在该窗体的代码中发现有'wth1988'这样的字符串(用OD同样可以发现),因为有个if语句感觉这个像是登录的密码,先记录下来,如果不对的话就要用OD动态分析了。
下面来分析激活方式,一般鼠标动作直接用查看PE文件资源的工具进行分析,如果是键盘事件就要动态跟踪了。仔细分析了上面的代码发现在Form1窗体中有4个Click事件,其中三个都是高仿的按钮,但是有一个Label控件很可疑,初步分析该后门是用鼠标动作激活的。用PE Explorer工具打开程序,但是发现什么资源都没有,后来让基友晓毛毛帮我看了下,他分析出来了激活区域然后推荐了VBExplorer让我试试。用这个工具打开程序查看Label控件属性:
控件的位置是右下角,来点击看看:
果然是鼠标动作激活,输入刚才的字符串:
成功进入后门。