啊拉QQ大盗脱壳记

“啊拉QQ大盗”简单介绍，顾名思义，盗QQ的木马
脱壳对象主文件 “alaqq1.6B.exe.exe”
用PEID看看，Microsoft Visual C++，晕倒，怎么可能呢，难道还有QQ木马不加壳的？！怀疑是仙剑或者其他的伪装壳
没有什么说的，先看看
Ollydby载入之
提示“入口点位于代码外部”，确定
然后提示“快速统计说明程序经过加密压缩，*****”，点击否，反正再继续分析也是错误的
进入以后停在004AE000处
代码如下
004AE000 a> 55 push ebp
004AE001 8BEC mov ebp,esp
004AE003 6A FF push -1
004AE005 68 2A2C0A00 push 0A2C2A
004AE00A 68 38900D00 push 0D9038

向下拖动滚动条看看，发现如下语句
004AE02F FFE0 jmp eax

呵呵，，然后F8单步跟入
到了如下地址
004AB280 60 pushad
004AB281 BE 00C04600 mov esi,alaqq1_6.0046C000
004AB286 8DBE 0050F9FF lea edi,dword ptr ds:[esi+FFF95>
004AB28C C787 C4300700 26F0>mov dword ptr ds:[edi+730C4],1B>
004AB296 57 push edi
往下面拖一拖滚动条，发现全是奇怪的转跳指令，呵呵，直接跟进的话会头晕的
我们直接向下找长转跳和变形长转跳
细心点往下面看
004AB3EB ^\E9 5489FCFF jmp alaqq1_6.00473D44
004AB3F0 08B44A 0018B44A or byte ptr ds:[edx+ecx*2+4AB41>
004AB3F7 00C4 add ah,al

呵呵，这里就是一个可疑的转跳了,跳到OEP了，Magic Jump
把光标停在004AB3EB上面，F4运行到光标处，记录 JMP 后面的值
然后F8，进入真正的未加密程序了
然后就是“脱壳再当前进程”
再用Importres填入刚才保存的OEP＝00473D44－00400000＝00073D44修复输入表
再用PEID看看
PEID 显示 Nothing found * 但是壳已经确实被脱掉了
程序作者在木马里面做了手脚，把入口点处的编译器特征代码更改了，所以PEID不认识
收工！