断网与黑客无关 我来抖一抖狂风那点见不得人的猫腻(转)(转载)

2年前 (2022-11-26)阅读5回复3最佳爬楼位置
xxhh
xxhh
  • 管理员
  • 注册排名4
  • 经验值533005
  • 级别管理员
  • 主题106601
  • 回复0
楼主

本文是转载,做者地址在文章尾部有!

  文章我只简化了2张图片!

  做者:

  我小我评论:定见各人仍是不要用那个软件了,一个有过不良笔录的地痞软件,我们拿什么来相信,再者,难保它不会又弄出新的猫腻!

  那几天看新闻,发现狂风七搞八搞,竟然包拆成了5.19断网的受害者,传闻现实上是狂风被ZF封杀,在新版本发布前,禁绝供给旧版本的下载,成果搞成了什么“召回”。然后就是一帮弱智媒体跟着瞎起哄,看得我牙都笑掉了。哄谁哪?圈里谁不晓得狂风是怎么回事?说白了就是一款高程度的地痞软件,或者痛快喊间谍软件。略微动动脑子就大白了,假设不是上亿用户的狂风自己有什么猫腻,几个小黑客怎么可能搞出那么大动静?

  前几天翘班在家,闲着没事把GF条记本上的狂风逆向了一下,成果发现了一个名喊stormliv的后台历程,每20秒主动轮询一次狂风的告白办事器,说白了就是狂风让它的1.2亿用户的电脑主动往点它的告白,用虚假点击骗告白主的钱,但是身手不精,成果搞成了一个死轮回,大量地占用dns资本,即使没有此次黑客进攻,变成大祸也是迟早的事。

  更蹊跷的是,我又测了一个519断网后,狂风25号发的一个新版本,那个版本里,招致断网的那些猫腻竟然还都在!stormliv的死轮回轮询机造底子没往掉,只是把轮询时间改得间隔长了一点,用了一些更冗杂更隐蔽的逻辑,仍然是在在后台偷偷运行,并且删除后还会从头生成,办事删除或制止后也会新生,通俗人底子清不掉。

  最cao蛋的是那软件在开机时,会通过办事项强行自启动,一般人底子关不掉那个开机启动项,占用内存不说,关键是把开机速度搞得巨慢(我把狂风卸了后,觉得本本的速度有明显提拔)。就算把软件整个关掉了,还会驻留在内存里后台运行,卸也很难卸清洁,别的还会骚乱其他视频播放软件联系关系视频文件,那不是地痞是什么?

  在坛子里混那么多年,历来都是潜水,此次是在受不了了,赤膊上阵,发个童贞贴,说得不合错误的,期看各人包容。

  先阐发一下狂风5月8日版本。

  阐发目标:stormliv.exe

  一.静态特征:

  版本:3.9.5.15

  数字签名:有 [北京狂风网际科技有限公司 ]

  签名时间:2009年5月8日 11:06:16

  大小: 596,064 字节

  编译日期:20009年5月8日 03:05:38(GMT)

  CheckSum:A1192

  编译东西: Mircosoft Visual C++ 6.0

  加壳:无

  二.动态特征

  1.启动和庇护:

  stormlive.exe通过办事实现开机自启动,并且此办事不克不及被删除、禁用、停行,假设删除或停用或制止,下次再次运行狂风影音主法式storm.exe 会主动恢复。

  2.端口侦听:

  此历程被用于狂风影音多历程通信,利用开启当地端口侦听,UDP协议实现。

  监听UDP 1025 5357等端口,实现Stline(狂风盒子) ,stormlive和storm.exe间通信

  3.用户态钩子

  stormlive.exe启动后,其meedb.dll会HOOK DeviceIoControl ,RegQueryValueA,RegQueryValueExW,CoCreateInstance 等函数

  次要是用于过滤DVD区码掌握(IOCTL_DVD_GET_REGION )和一些COM接口掌握。

  三.stormlive次要功用阐发:

  1.狂风影音主动晋级功用

  stormlive会主动毗连 hxxp://download.baofeng.com/stormII/storm_ctrl.ini 文件

  那是一个通俗的晋级设置装备摆设文件。

  目前内容如下,能够看到有最新版本、晋级URL、能否强逼晋级、能否提醒用户、提醒用户信息等设置装备摆设内容

  [SERVER]

  version=3.09.06.10

  url=

  force=0

  alert=0

  info="狂风影音有新版\n\n,已更新至3.09.06.10"

  [EXPERT]

  lib=

  url=

  晋级部门逆向代码:如图2

  2.信息统计:

  目前发现可能毗连下面那些地址来获取信息、或者回传统计,没发现涉及用户隐私或者系统设置装备摆设信息等。

  hxxp://active.baofeng.com/active2?pid=%did=%duid=%st=%dv=%si

  用户活动信息,包罗安拆日期,UID,ID等信息。

  逆向代码:如图3

  hxxp://areacode.baofeng.com:8081/adp/custom/;action=get_city_code

  那个似乎是用来查询当前城市代码的,可能告白弹出需要。

  hxxp://bukebo.baofeng.com/upload/talks.do?talkMd5=%stalkVersion=

  hxxp://midInfo.baofeng.com/mid/downSucc.html?ver=%spl_id=%s

  MID统计信息,上传版本和MID

  hxxp://midsd.baofeng.com/p2p/seed?name=

  获取P2P种子信息,stormlive.exe似乎在晋级时利用了P2P手艺。

  3.不成播放文件回传。如图4

  当狂风影音发现不成播放文件时,会通过stormlive.exe,毗连:hxxp://noplay.baofeng.com:9000/upload/upload.do来上传那个文件的部门片段。

  那也是一个有界面的功用,只要用户手动抉择不再主动提醒,才会后台寂静上传。

  逆向代码如下:如图5

  4.下载告白

  stormlive.exe会毗连download.baofeng.com,筹算下载一个exmat.ini,此中包罗了告白信息。

  告白链接都是一个个ZIP压缩包,但此中未包罗可施行法式。

  逆向代码:如图6

  此中鄙人载告白时,可能是为了绕过某些平安软件或anti-ad软件对其的封锁,没有摘用HOSTS文件中的设置装备摆设,而是自行获取download.baofeng.com的域名,并且会在一个死轮回中每隔20000 毫秒(20秒)发送一次DNS查询包。

  那段代码可能是招致此次断网门的首恶祸首。

  逆向代码如下:如图7

  能够看到,假设对download.baofeng.com的gethostbyname挪用失败,会每隔20秒从头获取一次,曲到获取胜利为行。

  如许每小时就会发送数百个查询包,乘上狂风的用户量,数量之大十分恐惧。

  四.肃清办法

  狂风影音新版共有3个没需要存在的历程:

  1.stormpop.exe 用于弹出告白。

  2.stline.exe 狂风盒子,也是告白和选举等。

  3.stormlive.exe 前述的晋级、回传客户端。

  此中前两个间接删除即可肃清掉。

  最初一个删除后还会从头生成,办事删除或制止后也会新生。

  有一个简单的办法能够肃清那个法式,通过定位此文件的PE头,将IMAGE_NT_HEADERS-SubSystem改为IMAGE_SUBSYSTEM_NATIVE

  即将那个法式修改为一个驱动/NATIVE法式,因为services.exe无法启动此法式,那个晋级法式就无法陆续工做了,同时也不会新生或被重生。

  再阐发一下狂风影音的最新版本

  签名日期:2009年5月25日 22:11:57

  版本:3.9.5.29

  颠末阐发能够发现,5月8日签名版本(版本号:3.9.5.15)的响应功用都仍存在。

  区别在于:其死轮回获取download.baofeng.com域名的代码(ForeverLoopGetHost)改为了每隔30分钟获取一次。

  并且在每次获取时有一些比力冗杂的逻辑,而不是单纯地挪用系统API gethostbyname来获取,可能是用于流量掌握。

图片2

图片3

图片5

图片6

图片7

0
回帖

断网与黑客无关 我来抖一抖狂风那点见不得人的猫腻(转)(转载) 相关回复(3)

独倚
独倚
沙发

这个话题直指网络世界中令人困扰的猫腻,断网与黑客无关却仍充满着不为人知的秘密,勇敢揭露那些见不得人的事情是维护正义之举!期待真相大白于天下的一天到来!
6天前 (07-27 15:46)回复00
踏雪寻梅
踏雪寻梅
2楼
断网与黑客无关一文揭露了网络世界的猫腻,抖落狂风中的真相,通过深入剖析网络安全问题背后的不为人知一面;这篇文章堪称智慧之作》。
6天前 (07-27 15:48)回复00
雨夜清寂
雨夜清寂
3楼
断网不等于脱离黑客魔掌,那些藏在狂风里的猫腻我们揭一揭开(转)一篇精彩深刻的信息安全科普文章。
6天前 (07-27 15:49)回复00
取消