？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭最近比特币频繁出现安全问题，想找一个盗取比特币的钱包进行分析。恰巧此时网友smtp在CaiyunBit论坛上发帖揭露LTC木马钱包，并提供了LTC木马钱包的样本，于是我对木马钱包的程序进行了逆向，分析了钱包盗取LTC的原理。窃取的方法也可以用于比特币和其他假币。

？马鞭马鞭马鞭马鞭马鞭马鞭他在Caiyunbit论坛发布了自己的地址：http://www.cybtc.com/thread-9367-1-1.html,并提醒大家从官网下载钱包，千万不要下载没有官网(各种网盘)签名的钱包。马鞭

一、原理分析

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭这个LTC木马钱包用一种简单的方式窃取LTC。在检查钱包的收货地址时，隐藏了钱包的真实收货地址，显示了黑客的LTC地址。当发送LTC到这个接收地址时，发送的LTC自然会到达黑客的钱包，永远不会到达这个钱包。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭验证过程非常简单。先安装LTC木马钱包，新建收货地址，然后卸载木马钱包，安装LTC官网钱包，检查收货地址。两者显示的地址不同。官网钱包显示的是真实地址，木马钱包显示的是黑客的LTC地址。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭黑客的LTC地址在钱包里不存在，所以导出私钥失败。官网钱包显示的LTC地址存在，私钥可以导出。它可以通过dumpprivkey命令进行验证。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭LTC官网钱包下载地址：https://download . lite coin . org/lite coin-0 . 8 . 7 . 2/Win32/lite coin-0 . 8 . 7 . 2-Win32-setup . exe，需要科学上网。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭木马显示黑客的LTC收货地址：

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭官网钱包显示真实LTC收货地址：蓑衣网小编2022

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭对比两相，可以看出显示的LTC收货地址不同。马鞭马鞭。钱包显示收货地址

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭LTC代码是开源的。黑客下载了LTC代码，做了一些修改，重新编译了代码，打包了程序，放在网盘里供下载，窃取了网友的LTC。

？马鞭马鞭马鞭马鞭马鞭马鞭显示钱包接收地址。LTC的代码与BTC的代码相同，主要显示列表中的LTC地址。木马钱包可以通过修改列表中显示的LTC地址字符串来隐藏真实地址。

？马鞭马鞭马鞭马鞭马鞭马鞭LTC收货地址的显示主要涉及两个模块：程序加载时显示收货地址和创建新的收货地址。以下是如何在地址列表中显示地址的简要说明。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭钱包的接收地址存储在CWallet类的mapAddressBook中，接收地址列表是AddressTablePriv类的QList 蓑衣网小编2022 cachedAddressTable控件。马鞭

？马鞭马鞭马鞭马鞭马鞭马鞭1。程序加载时，显示接收地址：

？马鞭马鞭马鞭马鞭马鞭马鞭litcoin-qt加载时，在主函数中，创建一个类似WalletModel的对象，在WalletModel的构造函数中创建一个类似AddressTableModel的对象，然后调用AddressTablePriv类的refreshAddressTable函数。refreshAddressTable函数遍历钱包的地址簿，并将其显示在接收地址列表中。马鞭

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭2。创建新的接收地址：

？马鞭马鞭马鞭马鞭马鞭马鞭对话框创建后的新地址是 马鞭

？马鞭马鞭马鞭马鞭马鞭马鞭2。函数updateEntry

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭CT_NEW时，调用parent-beginInsertRows函数之后，调用cachedAddressTable.insert函数之前，添加修改显示地址的代码。马鞭

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭有10个黑客的LTC地址。这10个地址按照显示和插入地址的顺序依次显示。如果超过10个地址，则会循环显示。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭木马钱包里定义了一个数组，指向这10个LTC地址。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭木马钱包中定义了一个整形变量，标识地址索引，显示该索引指向的LTC地址，然后递增，当等于10时，重置为0。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭这是IDA定位的地址数组和索引。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭这个功能的实现对于码农来说非常简单。马鞭

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭黑客的LTC地址并不是明文存储在钱包程序中，而是加密的，需要解密后才能显示LTC地址。通过逆向分析，解密方法简单，逆向操作就是加密。

？马鞭马鞭马鞭马鞭马鞭马鞭加密时遍历LTC地址的34个字符，以0 32 ('2 ')、0x3C(' 0 ')、0 57 ('w ')这3个字符为分界点，根据字符范围的不同加减3。

？马鞭马鞭马鞭马鞭马鞭马鞭解密时，执行反向操作。

？马鞭马鞭马鞭马鞭马鞭马鞭加密解密规则：

字符大于等于00且小于等于0 32 ('2 ')时，加密时字符加3，解密时减3。当字符大于0 32 ('2 ')且小于或等于0x3C(' ')时，加密时字符数增加3，解密时字符数减少3。当字符大于0x3C(' ')且小于或等于0 57 ('w ')时，加密时字符减少3，解密时增加3。当字符大于0 57 ('W ')时，加密时字符增加3，解密时减少3。

？马鞭马鞭马鞭马鞭马鞭马鞭蓑衣网小编2022(1)规则和(2)相同，可以合并。我不知道他们为什么分开。马鞭

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭黑客的10个LTC地址的明文和密文如下：

LTC地址

加密LTC地址

ll AVR 8 ab 5 GB 6 ybgjgxu 9d 2 qisegutcjgvn ' iidso；e8je 9 | ejmD { xlnmuplzrl 2 spzrcwc 8 us 5 vqz 6 CWC 2 craol ' ikj xmi } ui 5 pswufz @；RP 8 ynw 9 FZ @ 5 @ OdrI ' lrd 63 cf zu 7 wqt 5 jsvec 4 PDR kbya 7 ykiz 4 z ' IOA 96 fiwx:TT w8 gpyb @ 7 mauh？|:vnlw 7 } ' lmvwz 1 nqax 56 if 8 tdmqik 2 mjw 6 pkxrv 7 wz ' ijsz } 4 qnu 89 LC；qajtlh 5 pgt 9 MH { uS:zW ' LD 1 wbzypahdxsmq 8 xefgmrlutngwoxmo 8 ' Ig4T？W | Mkg { vpN{ hCjJuIxQKDzrUprllha 7 B4 gz 2 u 6 bfkr 9 suztqqt 35 zbmojbuf ' iied:e7j } 5r 9？CHOy|QT？4 NR 5n 6 qmfwnmvnrhvdn ' ldgytrstkmyf 9 nvb 4 uwsxuhbxvjhpc 9 p ' igjvquvqfhp | C

HWM {？Q5jPi'

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭用IDA拆解，加密黑客的LTC收货地址可以清晰的看到。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭这是一个用IDA逆向解密地址的函数。

？

四。结论

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭马鞭从这个分析可以得出，这个被偷的钱包还是比较简单的。因为比特币和莱特币的代码都是开源的，更容易反向定位关键点。但最重要的是熟悉比特币的代码和命令，可以帮助分析问题，实现原理。

？马鞭马鞭马鞭马鞭马鞭马鞭马鞭如果你的钱丢了或者被偷了，可以发相关软件给我，简单描述一下被盗的过程，我可以帮你分析揭示，防止别人被盗。我的