一个可可X的二次验证,无壳
问题描述:一个可可X的二次验证,无壳自我分析:可可x的网络验证,利用伪装接口返回数据成功过了第一次验证。但是功能窗口迟迟不出来,然后用抓包抓到了一条ResourceHacker程序又发送了验证请求,通过分析发现软件在登陆成功之后会在C:\Windows目录生成ResourceHacker软件,但是手动打开这个软件发现是一个偏移量转换器,然后就无从下手了,找不到二次验证的程序,没有思路。希望各位大大能提供意思解决办法,先谢谢各位大佬了!!!!!
问题配图 :
找到了可可X的验证接口
进行接口hook (接口hook技术是看E少大大的视频学会的)
登陆成功之后通过抓包会发现 通过ResourceHacker.exe软件进行了二次验证,因为这个软件验证完就会删除,没时间通过任务管理器定位程序位置,就用易语言写了一个小程序定位到程序位置在C:\Windows
在od里面登陆成功会弹窗提示线程注入失败,然后通过窗口api找到了弹窗的代码首。在代码首断下来之后。C:\Windows看到了ResourceHacker程序,但是打开发现是一个普通的工具,最后找不到二次验证的关键位置。
提示:
在OD里面登陆成功之后会提示线程注入失败,不会启动二次验证,
拦截dll也放在压缩包了,把dll和程序放在同一个目录就可以登陆成功。
病毒查杀截图或链接:https://habo.qq.com/file/showdet ... Fs%2BU2o%3D#keyinfo
下载链接:https://devin.lanzoul.com/ihCYA05lniqj
他释放的是个傀儡进程 A程序验证成功必定有个功能dll注入到傀儡进程里验证 了 你直接打开是没有无效没有用的 superqiu 发表于 2022-5-29 16:07
他释放的是个傀儡进程 A程序验证成功必定有个功能dll注入到傀儡进程里验证 了 你直接打开是没有无效没有 ...
不知道功能dll怎么找,我单步跑了 堆栈里面没看到 这个不是的吧
瞬. 发表于 2022-5-29 19:04
这个不是的吧
不是要找功能dll F浮尘 发表于 2022-5-29 18:06
可可不是每个验证的 那个什么值不一样吗。。。
还没遇到那个值就卡住了 楼主搞定没有,我也遇到一个可可。是傀儡进程的。实在不会dump出来,也附加不了。没有思路了
页:
[1]