本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!
二、前言
最近在玩俄钓,为了方便自己,某宝了几个最热门的脚本,很好,那我们就拿排名第一的分析分析,文才不佳,还请各位将就着
image.png (59.06 KB, 下载次数: 1)
下载附件
1
2022-8-6 13:38 上传
首先获得了下载地址
拿到虚拟机去分析一番
第一步常规查壳
image.png (298.55 KB, 下载次数: 0)
下载附件
2
2022-8-6 13:39 上传
C++无壳
image.png (176.64 KB, 下载次数: 0)
下载附件
3
2022-8-6 13:42 上传
F9运行
image.png (178.26 KB, 下载次数: 0)
下载附件
4
2022-8-6 13:44 上传
程序终止
直接二话不说附加
image.png (58.35 KB, 下载次数: 1)
下载附件
5
2022-8-6 13:46 上传
image.png (53.06 KB, 下载次数: 0)
下载附件
6
2022-8-6 13:47 上传
CTRL+G 00401000 来到程序领空
image.png (194.24 KB, 下载次数: 1)
下载附件
7
2022-8-6 13:48 上传
image.png (212.29 KB, 下载次数: 0)
下载附件
8
2022-8-6 13:49 上传
大概看一下没有用的信息
image.png (24.45 KB, 下载次数: 0)
下载附件
9
2022-8-6 13:51 上传
直接运行模板看看
发现会重新启动一个新的类似于CMD的运行窗口控制台程序的exe文件格式程序
进行二次验证
而且每次运行模板新程序名称都会随机改变
在毫无头绪的情况下只能请上我们的主角火绒剑
通过过滤选项选中我们的程序分析后发现程序首先会在 C:\Users\panfeer\AppData\Local\Temp 下释放几个文件
分别是
1.重新压缩后的壳程序
2.一个用来存放新程序的TMP格式文件
3.运行模板过程中会释放第三个用来传递参数的exe格式文件
[color=]过程中会不断打开写入这些文件
OK不在过多分析这些文件直接下WriteFile断点
image.png (149.58 KB, 下载次数: 0)
下载附件
10
2022-8-6 14:03 上传
发现最后一次写入后CMD窗口类exe程序被创建线程运行后 程序断下
直接把创建好的程序载入OD
右键中文搜索
image.png (239.96 KB, 下载次数: 1)
下载附件
2022-8-6 14:08 上传
OK发现无壳 全部明文,剩下的判断修改就很简单了
我就不在过多的赘述了
