转:绿BEI花季护航管理密码分析

2009年6月10日 | 分类: 信息安全 | 标签:

找到C:\WINDOWS\system32\kwpwf.dll这个文件,大小只有32字节,用记事本打开,内容为:D0970714757783E6CF17B26FB8E2298F采用MD5加密算法,反查,没想到真的是“112233”,也就是MD5算法了.“112233”是绿BEI花季护航的初始密码
在注册表搜索“D0970714757783E6CF17B26FB8E2298F”发现在注册表也有保存该值.试验过去,替换kwpwf.dll内容即可替换登陆密码,注册表的暂时没发现什么用途.
根据测试,发现其对“QQ”、“QQ聊天室”、“QQ游戏”、“MSN”、“E话通”、“SKYPE”、“ICQ”、“新浪UC”、“网易POPO”、“阿里旺旺”、“雅虎通”、“魔兽世界”着重监控分析,包含聊天语义分析.会定时捕捉屏幕保存为图片信息,自动记录用户上网的各个动作、地址,自动将地址等、关键词等跟数据库对比屏蔽访问,自动升级数据库和程序,自动分析网页中的图片是否为露点、色情图片,自动语义分析聊天内容


不能说的秘密:万能XX:7895123

0040CA98 |> \83C4 10 ADD ESP,10
0040CA9B |> 33FF XOR EDI,EDI
0040CA9D |> 68 441B4500 /PUSH gn.00451B44
0040CAA2 |. 8D8C24 180100>|LEA ECX,DWORD PTR SS:[ESP+118]
0040CAA9 |. E8 F7CC0100 |CALL gn.004297A5
0040CAAE |. 8D8C24 B80000>|LEA ECX,DWORD PTR SS:[ESP+B8]
0040CAB5 |. E8 16170200 |CALL gn.0042E1D0 ; 密码输入窗口
0040CABA |. 83F8 01 |CMP EAX,1 ; IDD_OK
0040CABD |. 0F85 85010000 |JNZ gn.0040CC48 ; if 密码 != NULL
0040CAC3 |. 8B9424 140100>|MOV EDX,DWORD PTR SS:[ESP+114] ; 刚刚输入密码的ascii字符串指针
0040CACA |. 68 8CD44400 |PUSH gn.0044D48C ; /Arg2 = 0044D48C ASCII “789****”
0040CACF |. 52 |PUSH EDX ; |Arg1
0040CAD0 |. E8 70CB0000 |CALL gn.00419645 ; \gn.00419645 ;写死的内置密码和输入的密码对比
0040CAD5 |. 83C4 08 |ADD ESP,8
0040CAD8 |. 85C0 |TEST EAX,EAX
0040CADA |. 0F84 BF010000 |JE gn.0040CC9F ; 如果与内置的密码相等则跳过设置的密码对比,直接进如管理界面或者日志管理
0040CAE0 |. 6A 01 |PUSH 1 ; 如果改为 jne 那么这个程序无需密码就可以进入管理界面了

===下面是跟XX的密码做对比 如果输入的密码与内置密码匹配,那么会跳过与设置密码匹配检测直接进入管理界面===
0040CAE2 |. 8D4424 1F |LEA EAX,DWORD PTR SS:[ESP+1F]
0040CAE6 |. 83EC 10 |SUB ESP,10
0040CAE9 |. 8D8C24 280100>|LEA ECX,DWORD PTR SS:[ESP+128]
0040CAF0 |. 8BDC |MOV EBX,ESP
0040CAF2 |. 896424 44 |MOV DWORD PTR SS:[ESP+44],ESP
0040CAF6 |. 50 |PUSH EAX
0040CAF7 |. 8D7424 68 |LEA ESI,DWORD PTR SS:[ESP+68]
0040CAFB |. E8 30D2FFFF |CALL gn.00409D30
0040CB00 |. 50 |PUSH EAX
0040CB01 |. 8BCB |MOV ECX,EBX
0040CB03 |. E8 38D3FFFF |CALL gn.00409E40
0040CB08 |. 8D4C24 54 |LEA ECX,DWORD PTR SS:[ESP+54] ; |
0040CB0C |. 51 |PUSH ECX ; |Arg1
0040CB0D |. 8D8C24 300100>|LEA ECX,DWORD PTR SS:[ESP+130] ; |
0040CB14 |. E8 B73E0000 |CALL gn.004109D0 ; \gn.004109D0
0040CB19 |. 8BC8 |MOV ECX,EAX
0040CB1B |. C68424 8C0200>|MOV BYTE PTR SS:[ESP+28C],9
0040CB23 |. E8 C80B0000 |CALL gn.0040D6F0

目前还没有任何评论.