本文为看雪论坛精华文章
引用徐胜的一段话"外挂是一种特定的辅助软件。外挂与木马程序的区别在于,外挂是用户主动使用的,而木马则是在用户的终端上偷偷运行的。根据外挂是否有模块进行游戏客户端,把外挂大致分成两大类,即内存挂和非内存挂。“很显然这个样本非内存挂。释放的压缩包存在C:\Users\<username>\AppData\Roaming\MyMacro启用。通过端口8888和51019向117.27.139.134传输信息。初始化获取系统时间,跳入函数起始函数,检查文件和所在路径。进入到main函数后,对异常,以及线程对临界区数据的读取做了进一步限制。根据参数的信息,可以知道这是监视对话框、消息框、菜单或滚动条中的输入事件而生成的消息。如上图,这个函数是profuncaddreess,调试他。如果没有hook成功,将会直接跳转。设置成功,返回原函数。设置消息过滤,并向OLE注册IMessageFilter接口,根据每个线程只能注册一个消息过滤器。多线程单元中的线程不能有消息过滤器。初始化com组件,初始化控件,初始化gdip函数库。函数最后取消注册,取消互锁,取消钩子。用 dbgview 看一下谁与客户端进行交互。QQbox 客户端进行进程间管道通信。
runner.exe 对 Visible、Enabled、Left、Top、Width、Height、ZOrder、Text、TextColor、BackColor、Hwnd、NormalColor、OverColor、FocusColor、Appearance、ColorScheme、Password 这些参数进行判断。
外挂可执行程序释放的 runner.exe 执行脚本。建议用1.4脚本去调试,也可以硬调。使用1.4脚本脱壳,可以参照我的od配置。由于限制附件的大小,这是我OD的所有配置,运行起来没有异常。通过 loadMenu 和 GetSubMenu 这种方式去执行脚本内容。看雪ID:mb_bkzfwnlo
https://bbs.pediy.com/user-home-861115.htm
*本文由看雪论坛 mb-bkzfwnlo 原创,转载请注明来自看雪社区。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458386891&idx=1&sn=ca32141237a75d4a446819a537ac5cf2&chksm=b18f314186f8b857b526649f581139e8853487e69ab8fbfbdfc8edeef5195235ce0e20c726c3#rd
如有侵权请联系:admin#unsafe.sh