反向分析揭开蜜罐中神秘工具的面纱。笔者在虚拟机上创造了蜜罐环境，现在确实是千疮百

孔，被各种各样的人认为是肉鸡。虽然设置了快照，但是没有恢复过。我想看看能不能得到有

价值的exploit。前几天，黑客在笔者的蜜罐里放了工具包，还设置了密码。这个工具包是收费

的，笔者首先考虑了0day。这个黑客可能掌握了0day，所以笔者下定决心拿出工具包反过来

分析了。

 

 

 

工具包是需要输入密码的exe，不用说直接放入OllyDbg，看看能不能得到密码。程序入口是P

ushad，按F8键单步执行几步后直接返回，所以首先考虑的是放入壳体，放入PEid。果然是外

壳，还是UPX外壳。现在脱离UPX外壳的外壳可以简单地搜索下载，不用说手动外壳的过程

，脱离UPX外壳后用PEiD跑吧。

 

 

 

PEID显示壳体的状况。EP段的值.code表明UPX外壳正常脱落，脱落后的程序在OllyDbg中跑

步，最初的程序只是从寄存器读取参数，直接按F9键完全跑步。经过反汇编调试，可以看到

这个程序跑步后，在c盘下面的隐藏目录中制作了名为1.tmp的文件夹，制作了名为01.bat的脚

本，运行了这个脚本。接下来，让我们在c盘下面的目录中看看这个脚本的内容。

 

 

 

隐藏目录下创建的脚本。隐藏目录下的脚本内容。让我们简单地看看这个脚本的内容。其中

%var%==520.的if语句暴露了该程序的密码，in(ips.txt)do(start02.bat%i)说明密码判断成功

后，将保存在ips.txt的IP地址执行02.bat脚本。现在马上打开02.bat脚本，看脚本的内容。跟

踪生成的02.bat脚本。可以看出，该剧本正在执行cs.exe文件，%1是其参数，nc是常见的n

c链接工具。直接输入520.密码，看看这个工具的作用。工具跟踪。到目前为止，这个所谓

的收费工具的真面目都显示出来了。emm大牛在2008年写的MS08067的exploit，这个收费

工具现在在网上随处可见，其实写了大量的脚本，没有0day。