站内绝地求生插件初步分析
本帖最后由 莫莫大侠 于 2018-4-2 21:44 编辑https://www.52pojie.cn/thread-720680-1-1.html 举报贴地址 @zhm757
小白初步尝试分析一下,抛砖引玉寻求大神~~~~分析过程把我逗笑了。
软件这样, 尝试过改后缀,rar解压,并没有发现什么捆绑在一起的程序,那我们就直接拖到OD里面看看。
OD 里面非常直观的可以看到,他释放了一个 叫 KAY的 程序。这就是那个盗号木马。
那咱们就让他释放出来,在段首下端,点击启动辅助,段首断下了,单步跟到字符串下面的CALL,我们看到文件已经释放了。
看图标,就知道是QQkey获取工具,PS:貌似是一个大神免费写的,后来被别人倒卖的太厉害作者不更新了。
拖到OD里面搜索字符串,可以看到调用了邮箱的SMTP 该怎么解释这个SMTP呢。
这个东西类似于邮箱的另一种密码也就是说,他如果获取了这个密码,不需要知道你的QQ密码,就能直接完成发送邮件的任务。 这个做过邮件群发的朋友一定不会陌生~
在上面,咱们又看到了获取 QQ和 key 的字符串。不用运行,就知道程序的工作流程了。
首先,你打开下载的辅助,单击开启的时候就自动释放出key.exe 在利用CMD命令运行。
Key的工作,则是先判断你的Q是否登录,如果没有登录,就直接终止程序,如果有就开始下一步动作。
这个动作是什么呢?说白了,我也不清楚它的Key是获取的Q密码,还是邮箱的SMTP(有没有大神了解这一方面的)
而且我们还能看到它的后台地址,我们访问看看去。
{:301_993:} 流批兄弟,我是小白还真没办法DD你。 不过我想说,你这样盗号良心不痛的吗?有没有大手子可以搞他一波~【滑稽】
下面说一下中招的小伙伴怎么办~
1.首先不要慌,先去steam客服那里申诉,附上你购买游戏的付款软件的支付截图和订单号。(比如支付宝,就找到那个订单记录详情截图,微信同理。)
2.看看你邮箱的SMTP是否在开启状态,如果是的话,就把他关闭。为了保险起见,最好更改一下QQ密码。
这类盗号一般都是卖黑号的商人。steam 找回一般需要2天左右,如果运气好,这个号没卖出去,或者卖出去别人开挂低调没有被封,2天后账号就回到你的手里面了。
所以说,真爱账号,远离一些奇怪的程序。。。
想当年我群里看到一个“绝地求生变声器”下载以后就差点中招,还好我及时发现不对劲。而且这种木马都是免杀的,你哈勃都分析不出来 。
楼主的OD分享下? Thank youLZqqq 厉害了,我从来不装杀软,因为不下什么乱七八糟的软件:lol:lol:lol:lol:lol:lol 你分析的这个太简单,看不明白。 提醒一下,如果steam被盗号了最先做的是锁定账号,通过绑定手机令牌给的救援代码可以实现(如果你没有绑定手机令牌强烈推荐绑定),这样可以让盗你号的那个小狗狗没办法玩你的任何游戏,急的它汪汪叫{:301_1001:} ╰Tang 发表于 2018-4-2 21:20
毛遂自荐自己的帖子 【某】“免费”“破解”捆绑的【盗号木马】
大佬讲到的key 可以参考这位大佬的帖子信 ...
谢谢指导分析。 我补充,我说的免杀的那个木马,那个不是 key 。他是你Q登录状态的时候才能工作,退出Q的话就不能改steam密码了。并没有获得Q的kay。 linuxprobe 发表于 2018-4-2 21:35
你分析的这个太简单,看不明白。
有几张图忘记加了。。