一个可可X的恶心暗装
下面是分析过程软件本身十分猖狂利用文本比较断点软件会在C:\Users\用户名\AppData\Local\Temp下释放一个tmp后缀名的文件
利用test edx,3在登陆后的返回值处 直eax的值为1
在调试中发现了暗装
00403DE9 C3 retn
简单分析了一下,这个会关闭自身而不调用易语言本身的退出命令
还有一个暗装会直接调用 退出命令 也是 00435A20 C3 retn
将段首ret掉以后
提示注入成功。然后并没有发现注入的dll文件,而且上游戏也没有功能
将按钮事件都跑了一遍也没有发现暗装在哪里
希望有大牛可以帮忙分析一下
这个是原版只是脱了个壳 链接: https://pan.baidu.com/s/1c3eOoNm 密码: dja3
这是我的修改版 链接: https://pan.baidu.com/s/1nwQ9aqP 密码: uc2i
解压密码 www.xuepojie.com
{:6_218:}反正我干不掉。用提取呗 残魂 发表于 2018-2-12 01:22
反正我干不掉。用提取呗
你可以试试貌似没有东西 本帖最后由 AlanGuo 于 2018-2-13 13:59 编辑
我是小白,请教大神为什么把文件载入后就变成dll文件了?而且退出程序后不可恢复为exe文件?
软件通过访问http://vip208.zxzc.net:8801/kss_io/io.php,这是那个软件什么版本的,求大神解答、
下send和recv断点都没法继续断下程序,不知道为什么
山寨说不定可以。
调试笔记:
0040D44E ; 选择文件夹的函数,NOP掉进入主界面
00403FD6 ; 网络验证函数的起始点
00404138 ; 调用自我破坏函数
004043C8 ; 出现假码
00404431 ; 出现假码
0040453F ; 出现假码
004046A5 ; 疑似联网发给服务器验证
00402277 这个函数执行完后显示DLL内部错误,返回异常
00404948 ; 显示dll异常
可可通杀工具带教程:https://www.52hb.com/thread-36713-1-1.html 谢谢楼主分享
页:
[1]