论坛样本分析之简单盗号木马分析

Hyabcd

    我又来分析样本了(⊙o⊙)，原帖地址http://www.52pojie.cn/forum.php?mod=viewthread&tid=390890&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline&page=2   楼主说的内容加密我不清楚是说程序被加密或者是啥，个人感觉程序没有什么加密或啥的，加密的是被盗的qq号。最初逆这东西时没发现是盗号木马，就是一些模拟登录qq的操作（鉴于这是炫舞的外挂觉得这蛮正常的）。后来看了大牛回复才知道外挂确实存在盗号行为，根据所述的继续往下探，果然发现了。
      首先还是OD加载，前面这些部分都是外挂的正常登陆，包括登陆qq号，输验证码之类的，qq号我随便用了个123代替，密码为456
  
     继续向下走，会发现程序对输入的qq号和密码是有验证的，随便输的话就会提示账号密码错误。找到判断的地方，发现通过判断eax是否为1来判断是否是正确的账号密码，于是就把eax置为1，直接绕过。

继续往下走，就会发现程序把账号密码加密发给一个地址

下方画圈的就是加密后的账号密码
等把这些信息传上去后，程序再提醒你登陆成功之类的东西，总之是伪装成外挂来盗号还是外挂中被加了这些东西不得而知。
  通过加密模块入口慢慢回溯，找到了用来加密的程序段（表示一步步往回找累成狗，求大牛给个好方法）
  
这段程序段真是长，从D81F到E54A,用IDA看了一下

定义了150个变量，表示伤不起，也逆不起，这加密算法留给大牛吧

无敌暴龙战士

看不懂 等大神来也

willJ

坐等哪位来分析下加密算法