近期我所在qq羣裏總是上傳視頻偷窺神器之類的消息,今天我就把偷窺神器其中的一款軟件下載下來做個簡單的分析。
工具:虛擬機、windows server 2003 、InstallRite、wireshark、mymonitor
文件夾裏的內容如上圖所示。不需要安裝打開即可使用。
接下來我們打開看看軟件界面。如下圖示
Ok,接下來工具上場...
一
首先,InstallRite用於系統文件快照,對小茹看看這款軟件執行前後對系統文件進行了哪些操作,前後進行快照之後在進行分析。
1、打開InstallRite,點擊圖中凸起的那個按鈕
2、接下來出現對話框:
一般情況下這一步驟不用配置,默認即可。
這一步驟是做系統快照,點擊“下一步”之後出現如下畫面。
下面這幅圖是打開要安裝的程序
可是這款軟件做了一些防止反監控調試機制,結果我們調試不了了。提示如下:
二
好吧,目前來看這一步行不通了。換個工具來,百度了下有人說mymonitor不錯,於是又將小茹視頻看看放到mymonitor中,分析如下:
進程監控如下:這些我覺得都是些他在內存中的操作,還有在系統中的一些讀寫操作,一陣頭大。
結果如下截圖:
三
接下來對該軟件與互聯網的數據交互進行分析,打開wireshark監聽本地網卡即可。此時可以分爲兩個階段:未激活之前、激活和激活之後。
未激活階段,我們輸入qq號試試
然後跳出激活界面。
相應數據包名稱:這裏就不截圖了,我會把數據包上傳上來。
激活階段
畫面如下
點擊“一鍵複製”按鈕出現如上畫面,但是與互聯網沒有任何數據交換操作。
點擊“點擊我進入下載安裝”出現如上畫面,此時有與互聯網交互操作。
目前就這樣子分析了,由於不會反編譯,讓大家見笑了。另外可以深入的地方就是與互聯網通信時的數據包了,看看他們的交換信息及ip。吃飯去了……
http://down.51cto.com/data/903149