一款俄钓4脚本的分析
一、声明本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!
二、前言
最近在玩俄钓,为了方便自己,某宝了几个最热门的脚本,很好,那我们就拿排名第一的分析分析,文才不佳,还请各位将就着
首先获得了下载地址
拿到虚拟机去分析一番
第一步常规查壳
C++无壳
F9运行
程序终止
直接二话不说附加
CTRL+G 00401000 来到程序领空
大概看一下没有用的信息
直接运行模板看看
发现会重新启动一个新的类似于CMD的运行窗口控制台程序的exe文件格式程序
进行二次验证
而且每次运行模板新程序名称都会随机改变
在毫无头绪的情况下只能请上我们的主角火绒剑
通过过滤选项选中我们的程序分析后发现程序首先会在 C:\Users\panfeer\AppData\Local\Temp 下释放几个文件
分别是
1.重新压缩后的壳程序
2.一个用来存放新程序的TMP格式文件
3.运行模板过程中会释放第三个用来传递参数的exe格式文件
过程中会不断打开写入这些文件
OK不在过多分析这些文件直接下WriteFile断点
发现最后一次写入后CMD窗口类exe程序被创建线程运行后 程序断下
直接把创建好的程序载入OD
右键中文搜索
OK发现无壳 全部明文,剩下的判断修改就很简单了
我就不在过多的赘述了 针不戳啊啊啊 为什么要打码 厉害了,不过干嘛要打码
hackerbob 发表于 2022-8-6 14:50
为什么要打码
不打码会违规的直接给我弄小黑屋里去了 6666,这可以 很好,很好 都是马赛克根本不清楚... 膜拜大佬 俄钓爱好者