简要分析某PUBGlite辅助
这是拿到的源程序我们直接查壳
那就按他说的改名运行一下试试
普通用户运行之后直接删除了。
用管理员权限可以运行。
出来两个窗口
再看一下文件夹
是这个主程序释放出两个文件
把主程序拖进OD试试看
只有这几条关键信息
批处理命令是用来删除文件的
看来这个所谓的主程序只是个“门槛”
关键点落在.tmp文件和.dll文件上
我们做好备份,再研究这俩文件因为,主程序的批处理命令会删除所有文件
把.tmp改成.exe试一下,图标果然变了
运行,弹出登录框
我们试着把他载入OD,直接载入,失败
调任务管理器查看
PID=19604 转16进制=4C94
附加 还是失败
这种情况怎么搞呢?
主文件查毒,报毒
释放出的文件查毒 无毒
应该是有壳报毒
样本链接
链接:https://pan.baidu.com/s/1SORazkLzbIrt16jPmvHhoQ
提取码:eg7y
复制这段内容后打开百度网盘手机App,操作更方便哦
接下来应该是什么思路? {:301_998:}注入程序为何不能是64位的呢?你用32位的OD调试64位程序?大胆,竟敢用前朝的剑来斩本朝的官{:301_1001:} 淦 VMProtect 1.70.4
wdnmd我壳动了 我不玩了 接来下输入卡号奔放 这个是什么怎么释放的文件? 材鸟 发表于 2020-3-26 14:03
注入程序为何不能是64位的呢?你用32位的OD调试64位程序?大胆,竟敢用前朝的剑来斩本朝的官{:3 ...
回复的言之有理{:301_1000:}
注入程序为何不能是64位的呢? 这是pubglite哪款辅助? 我也遇到类似的情况,不过主程序有vmp sdk验证,主程序破解完了,注入游戏进程的时候游戏会闪退,怀疑dll文件也有验证,现在dll没法调试不知道怎么下手了
果然是64位的...好像有壳,附加闪退;打开运行提示"a debugger has been found in your system "