安林 发表于 2019-7-26 13:41

CM系列V1[本地验证]

软件界面

软件MD5
1f6c90be15c6315a2ff27f162277711d


安林 发表于 2019-7-26 13:50

V1主要是线程检测OD
逆向本身无难度
判断秘钥代码为
判断(编辑框=**)
信息框(“**”)

安林 发表于 2019-7-26 13:55

V2为本地函数计算验证

秘钥框内容写入变量
功能代码写缺失
写内存(变量a)
a=G
b=C
GCE不等于E
E=进程ID
G=写入功能
也就是编辑框1内容不符合要求
则GC功能进行缺失(需手工补全)
V3
V1+V2 拒绝windos自身dll 全运行过程使用自身
写临时linux本地配置
已linux的运行模式运行程序
V4=V3+V2+V1
linux下释放临时进程 临时进程调试自身
(任何程序软件都无法被两个程序同时调试)
V5及之后正在写

狐白小刺客 发表于 2019-7-26 18:03

本帖最后由 狐白小刺客 于 2019-7-26 18:09 编辑

2730345665 发表于 2019-7-26 13:55
V2为本地函数计算验证

秘钥框内容写入变量

拿自调试 是不是看不起内核调试器?
其实还是远程写lsass进程 汇编附加进程 在判断LASTERROR这个比自调试好多了稳定还兼容

安林 发表于 2019-7-26 18:35

狐白小刺客 发表于 2019-7-26 22:03
拿自调试 是不是看不起内核调试器?
其实还是远程写lsass进程 汇编附加进程 在判断LASTERROR这个比 ...

{:6_225:}有人给了我个迷你的linux(可窗口运行 类似虚拟机那种) 软件会先释放linux 然后把自身的文件写进linux 软件只有在linux的环境才能运行在linux内进行穿透读写(类似勒索病毒那种) 在linux环境下首先你得有一个兼容双重调试的KDB才能进行正常修改吧如果你禁用了穿透读写那么软件没功能是自然的对吧 不禁用的话软件在linux环境下运行你准备从win环境进行KDB?

2452093141 发表于 2019-7-27 16:50

安林 发表于 2019-7-31 08:31

2452093141 发表于 2019-7-27 20:50
火绒报毒内核后门@Shark恒

经过和恒大的沟通确认误报。。。。。

安林 发表于 2019-7-31 08:32

2452093141 发表于 2019-7-27 20:50
火绒报毒内核后门@Shark恒

软件确实调用了内核hook了颜色管理{:6_219:}

2220464663 发表于 2020-6-12 02:39

2730345665 发表于 2019-7-26 13:50
V1主要是线程检测OD
逆向本身无难度
判断秘钥代码为


膜拜大牛大牛牛逼
页: [1]
查看完整版本: CM系列V1[本地验证]