利用ProcessHacker轻松获取某软件http请求,从而提取Dll数据包
本帖最后由 M3351AN 于 2024-8-16 22:43 编辑新人第一次发帖,望各位大佬不吝赐教{:1_893:}
目标软件是一款俄罗斯游戏作弊软件
他的启动界面全是俄文,如果有小伙伴不注意,就会捆绑下载Yandex浏览器
虽然没有病毒的顾虑,但是这种流氓捆绑行为也确实让人感到困扰
软件加载的原理,是从服务器上获取Dll文件的数据,再将其注入到游戏进程中
因为我的汇编知识基本为0,所以无论是通过逆向加载器本身还是从游戏进程中转储dll文件,对我来说难度都过大了{:1_909:}
该软件标榜无需更新加载器,能够自行获取最新的Dll,说明Dll数据是从服务器获取
想到此类软件通常通过捆绑下载的方式从软件厂商处获得盈利,利润微薄通常对服务器开销较为敏感,因此极有可能使用http请求的方式获取Dll数据
将加载器拖入exeinfope,发现没有加壳,那么起步就很轻松了
尝试将加载器拖入HxD中,搜索“http”字样,出现五十多条结果,但是显然都不是我们想要的
于是运行加载器,并使用ProcessHacker查找其内存
查找“http”字样,发现了捆绑下载yandex浏览器的http请求地址,但没有发现获取Dll数据的请求地址
于是点击加载,等待其界面出现"idet zagruzka dll"字样后使用ProcessHacker将加载器进程暂停,再次查找内存
不出意外,顺利地获取到了获取Dll数据的http请求地址
将地址复制进浏览器,发现如下数据
数据中不存在乱码,推测是通过Base64加密,将开头一小段复制进在线工具中进行解密
成功解密出MZ头,说明该数据确实是可执行的PE文件经过Base64加密后的结果
于是将数据保存至本地,编写一段Base64解密程序,将数据包解密
在HxD中查看,发现解密后的数据带有完整的PE头,拖入ExInjector中进行注入,也显示注入成功
最后在Dll文件中略加修改
大功告成,可以和Yandex浏览器说拜拜了{:1_918:} ProcessHacker停更了,官方继任者开发了新版本,名为systeminformer,官网https://systeminformer.sourceforge.io/ 非常好的分析文章 感谢大佬分享 Extreme Injector v3.7.2 by master131能分享下吗 感谢大佬分享 大佬牛逼 又学到新东西了
大佬牛逼 又学到新东西了 感谢大佬分享
页:
[1]
2