移花接木 将Alexa工具条改装成间谍木马

Alexa是一个发布全球网站排名信息的网站,他的网址是http://www.alexa.com。Alexa通过在客户端安装Alexa工具条来收集采样全球网站的访问数据,以这些数据为依据对全球网站进行排名,类似于电视收视率的统计。Alexa工具条是一种类似于Google工具条的IE插件,你可以在下面URL中下载:http://download.alexa.com/index.cgi。

  一、Alexa工具条的工作原理

  Alexa工具条是一种基于BHO和Toolbar Bands技术的一种IE插件。它以DLL文件的形式存在于系统中,是一种COM组件,IE会在运行时将其加载到自身进程中去,所以一般情况下防火墙是无法禁止该软件访问网络的,这就为他的木马角色提供了先天的便利,而且比本机Sniff软件收集密码的优势是:无论是HTTP还是HTTPS的网站,不管通信通道是否加密,只要是IE页面的表单都能收集到。具体原理可以查阅《关于Alexa排名作弊的一些解惑》。

  系统在安装了Alexa工具条后,会在系统目录下生成AlxTB1.dll和AlxRes.dll两个DLL文件(有些情况下是AlxTB2.dll,而不是AlxTB1.dll。那是因为Alexa工具条会自动上网更新的原因)。Alexa工具条的主要二进制代码存在于AlxTB1.dll文件中,这个文件同时也被注册成多个COM组件,他完成了BHO和Toolbar Bands的COM接口,并将IE的WebBrowser控件封装为一个COM组件供AlxRes.dll调用。AlxRes.dll文件仅包含少量的二进制代码,大量的代码是HTML和javascript代码,他们以资源的形式存在于AlxRes.dll文件中,你可以通过res://AlxRes.dll/CHTML/about.html这样的URL来访问这些资源。也许你会奇怪:又不是做网站,为什么软件的代码会是javascript写的?这就是Alexa工具条垃圾的地方。Alexa工具条的主界面是由HTML+javascript实现的。这些javascript代码通过调用AlxTB1.dll实现的COM接口来实现软件的全部功能。这样做不仅导致软件的效率低下,而且产生大量的资源泄漏,绝对是一种VERY超级SB的开发模式,但是却为我们修改Alexa工具条的功能提供了方便——根本不需要CRACKER知识,只要一个PE资源修改工具就可以对Alexa工具条的代码进行修改了。

  二、破解Alexa工具条

  当然,Alexa也不是真傻,绝对不会蠢到让自己的代码被你用资源修改工具随便改。为了防止AlxRes.dll中的资源被随意修改,他采取了计算文件校验和的保护方法,要是发现文件被修改,就会拒绝加载。我们在修改代码前,必须破解这种保护机制。

  AlxTB1.dll导出一个名叫ChecksumResources的函数,这个函数就是用来计算文件校验和的。用c32asm反汇编AlxRes.dll文件,查看字符串调用列表,找到"ChecksumResources"字符串,跳转到调用该字符串的代码,于100017C0处。往下翻几行,在100017F6处找到一句跳转,采用爆破方式,用NOP指令覆盖JNZ指令即可。通俗点讲:就是将AlxRes.dll文件偏移"0x17F6"处的两个字节"75 11"改成"90 90",你可以使用WinHex之类的16进制编辑软件来修改。

::100017C0:: 68 9C700010 PUSH 1000709C :BYJMP JmpBy:100017A4,100017B1, ->: ChecksumResources
::100017C5:: 57 PUSH EDI
::100017C6:: FF15 1C500010 CALL [1000501C] >>>: KERNEL32.DLL:GetProcAddress
::100017CC:: 85C0 TEST EAX, EAX
::100017CE:: 74 0E JE SHORT 100017DE :JMPDOWN
::100017D0:: 8D4D DC LEA ECX, [EBP-24]
::100017D3:: 51 PUSH ECX
::100017D4:: FF35 44740010 PUSH DWORD PTR [10007444]
::100017DA:: FFD0 CALL EAX
::100017DC:: 59 POP ECX
::100017DD:: 59 POP ECX
::100017DE:: 57 PUSH EDI :BYJMP JmpBy:100017CE,
::100017DF:: FF15 18500010 CALL [10005018] >>>: KERNEL32.DLL:FreeLibrary
::100017E5:: 8D45 B8 LEA EAX, [EBP-48]
::100017E8:: 50 PUSH EAX
::100017E9:: 8D45 DC LEA EAX,

时间: 2025-01-24 13:35:52

移花接木 将Alexa工具条改装成间谍木马的相关文章

Alexa工具条遭清洗,其排名逐渐淡出中国

alexa|淡出|工具条|排名   在无法获得第三方统计的情况下,要了解某个网站的大致流量,Alexa排名及相关分析一度成为大家的首选.然而,06年10月开始,Alexa排名赖以为存的工具条遭到国内使用较多的杀毒.安全软件的清洗.无论是卡巴斯基,还是360safe,抑或别的杀毒.安全软件,基本都把Alexa工具条看做广告程序加以查杀.   抛开作弊的不说,全英文的Alexa工具条在中国应用的局限,加上近三四个月来杀毒.安全软件对其的查杀,Alexa工具条及其排名在国内基本上没有什么存在的空间了.

Alexa工具条解密-Alexa世界排名

背景 今年十一长假过后,国内网站在Alexa上的排名突然经历了一次大规模集体滑坡,各种谣言开始在网民中流传,一种比较流行的说法是,Alexa终于开始调整算法来反击越来越多的中国作弊网站,人们把这看做是Alexa的"正当防卫",毕竟,一个以排行榜为最大卖点的网站赖以生存的就是它的排名的公正性. 各种传言都无法解决看客们对Alexa可信度的疑惑,因为国内主流媒体从未针对Alexa的技术进行过深入的分析和报道,而在下面的介绍中,读者可以看到,或许韩国网站排名过高另有原因,而所谓的Alexa作

IE/360浏览器不显示Alexa工具条怎么办

我这里用的是IE6,如果你的版本更高的话,先要确定在浏览器>>工具>>internet选项>>高级>>启用第三方浏览器的扩展上打勾,另外如果装有360或者windows优化大师要在里面将禁止插件安装之类的取消掉.     确保上面的都没有问题后,我的alexa工具条依然无法显示,查看了windows的版本是SP2的,从网上查了资料,可能是windows版本的问题,需要重新导入一下注册表文件,这里的注册表文件只是针对alexa工具条无法显示的,下面是内容: W

PHP判断用户浏览器是否安装alexa工具条程序

众所周知,alexa工具条是常用的网站第三方统计工具,通常我们会自行定制alexa工具条用来让用户安装,通过用户对工具条内容的点击来提高网站在alexa的排名.如下图中河北新闻网的alexa工具条. 如果我们在一些必要的php应用中需要强制用户安装,这就涉及到了alexa工具条安装与否的判断.浏览器在访问网页时php可以获取用户的User-Agent识别字符.使用装有Alexa Toolbar的浏览器在请求网页的时候,User-Agent识别字符中会多出alexa标记.用这个特性就可以判断用户的

Alexa工具条的下载/安装/使用-Alexa世界排名

1.进入: http://www.alexa.com/ 网站,在首页右上角找到FreeToobar的下载连接 2.找到"Install Toolbar"按钮. 3.下载AlexaToolbar 4.一路"下一步",不到1分钟就完成安装 5.安装最后一步会询问您要不要把Alexa设置为首页,不喜欢的话就把他点掉即可 6.安装完毕会自动关闭所有的IE窗口,弹出一个在线调查的窗口,填写一下提交即可 7.完成安装之后您的浏览器会多一个AlexaToolbar工具条,这样当你

站长常用IE工具条对比

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅 很多时候,IE工具条似乎已经成为了流氓软件的代名词,每当人们看到自己的浏览器上莫名其妙的多了一些不知名的工具条,都会恨的咬牙切齿.因为其中很多工具条的无法完全写在性,让人们逐渐对工具条这个互联时代的产物失去信心.不过也有一些IE工具条是为人们所喜欢的,这些被大家赞扬的工具条都各自具有特别之处,有些工具条甚至让许多人爱不释手.在这些人群里,有很多是个人.或者是企业门户网站的站长或者是设计者,经过笔者对这些工具条的观察以及对网民的使用体验进行分

ALEXA世界排名查询工具条新功能抢先看

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 ALEXA世界排名一直是站长比较关注的焦点,每天查查自己的网站在全球排名第几了,这是站长经常要做的事.网站合作.广告招商.链接互换的时候大家也都离不开要查一下对方网站的ALEXA排名,可见ALEXA排名是衡量一个网站价值的一个重要参考.ALEXA排名为我们提供了强大的查询工具,最近推出了新的查询工具条增加了网站评级功能和全球中文网站排名数据,

Google toolbar 工具条介绍

中介交易 SEO诊断 淘宝客 云主机 技术大厅 互联网信息搜索是仅次于电子邮件的第二大网络应用,几乎所有上网的人都会用到搜索引擎来查找信息,因此对网民们来说,搜索引擎已成为大家网上冲浪不可或缺的得力助手. 在众多搜索引擎中,Google以它查询精确,功能强大,速度快而日益受到用户欢迎.以纯搜索应用而言,Google是目前使用频率最高的搜索引擎.如果你平时用过搜索引擎却没听说过Google的话,那只能说你太孤陋寡闻了! 图1 Google一贯的目标的是成为最好的搜索引擎,为满足用户需求可谓不遗余力

&#106avascript制作浮动的工具条

浮动|工具条 该程序是我从别人的网站上分析出来的!由于对方的网站使用了框架,而且又取消了鼠标的右键功能,因此费了好长时间! 当你浏览该页时,工具条始终浮在左上角,你若不喜欢,可以自己调节摆放位置!若想多页使用该代码,可以把JSP程序部分写成JS的文件,然后再通过调用来实现,有不明白的地方,欢迎各位与我交流! 演示地址:http://www.85time.com/softuse/bar.htm <HTML> <HEAD> <TITLE></TITLE> <