一款俄钓4脚本的分析

ˇ沁丄の

一、声明
本文章中所有内容仅供学习交流，抓包内容、敏感网址、数据接口均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关，若有侵权，请联系我立即删除！

二、前言

最近在玩俄钓，为了方便自己，某宝了几个最热门的脚本，很好，那我们就拿排名第一的分析分析，文才不佳，还请各位将就着



首先获得了下载地址

拿到虚拟机去分析一番

第一步常规查壳



C++无壳



F9运行



程序终止

直接二话不说附加





CTRL+G 00401000 来到程序领空





大概看一下没有用的信息



直接运行模板看看

发现会重新启动一个新的类似于CMD的运行窗口控制台程序的exe文件格式程序
进行二次验证

而且每次运行模板新程序名称都会随机改变

在毫无头绪的情况下只能请上我们的主角火绒剑

通过过滤选项选中我们的程序分析后发现程序首先会在 C:\Users\panfeer\AppData\Local\Temp 下释放几个文件
分别是
1.重新压缩后的壳程序
2.一个用来存放新程序的TMP格式文件
3.运行模板过程中会释放第三个用来传递参数的exe格式文件
过程中会不断打开写入这些文件
OK不在过多分析这些文件直接下WriteFile断点


发现最后一次写入后CMD窗口类exe程序被创建线程运行后 程序断下

直接把创建好的程序载入OD
右键中文搜索



OK发现无壳 全部明文，剩下的判断修改就很简单了
我就不在过多的赘述了

Topstone

针不戳啊啊啊

hackerbob

为什么要打码

PDaDa

厉害了，不过干嘛要打码

ˇ沁丄の

hackerbob 发表于 2022-8-6 14:50
为什么要打码

不打码会违规的直接给我弄小黑屋里去了

lyn038111

6666，这可以

woshilaotian

很好，很好

ansel4516

都是马赛克根本不清楚...

gnow2013

膜拜大佬

tencentma

俄钓爱好者