重拳出击!我是这样对灰产外挂下手的

李志宽
• 阅读 1225

分析外挂样本一般的步骤

  1. 对外挂样本进行简单的信息分析。
  2. 分析还原外挂样本具体功能实现方式。
  3. 分析外挂样本的反检测功能。

1. 对外挂样本进行简单的信息分析

  • 查看文件属性,灰产及外挂的标配语言 “易语言”

重拳出击!我是这样对灰产外挂下手的

  • 通过Exeinfo Pe查壳工具进行对外挂样本查壳,看看发现是没加壳的应用程序。(心里突然咯噔了下,收费的外挂竟然都不做点保护,不对自己的程序负责,就直接把程序在市场上裸奔了)

重拳出击!我是这样对灰产外挂下手的

2.分析还原外挂样本具体功能实现方式

2.1 网络验证功能

  • 外挂一启动(注意:虚拟机环境)的界面就是收费的登陆账号验证,专业点的说也就是网络验证。
  • 外挂的网络验证选择方案: 外挂作者一般采用的方案,直接套用现场的的网络验证。很少很少自己又开发外挂又自己写网络验证。
  • 接下来我们需要通过逆向分析,分析下这个网络验证是采用什么验证的,是个什么样的实现思路和方法。

重拳出击!我是这样对灰产外挂下手的

  • 接着就开始需要借助反汇编工具ollydbg了(这里要感谢下这个伟大的ollydbg工具开发者的赏饭吃,让打工人有个好用的吃饭工具),ollydb一般有两种方式进行动态反汇编调试:1.用ollydbg打开要进行调试的样本。2.通过启动样本,接着进行用ollydbg工具进行附加调试分析。
  • 附加完直接上字符串分析大法,在ollydbg字符串界面中很明显这里有几个很明显的信息 :5yyz.com的链接地址和核盾的敏感信息。

重拳出击!我是这样对灰产外挂下手的

重拳出击!我是这样对灰产外挂下手的

  • 一顿分析过后核盾的后台登陆界面就出来了,到这里就够了,就不在进行对这服务器干啥了,不过随手一查下,这服务器直接放在阿里云的

重拳出击!我是这样对灰产外挂下手的

重拳出击!我是这样对灰产外挂下手的

  • 既然是逆向了,那么也不能简单的停留在这么肤浅的字符串信息上了,接下来就往下看下这个网络验证的大概实现功能并顺手把这个网络验证简单的用代码给还原下。
  • 通过下断点(INT3 函数断点)然后堆栈回溯的方法进行分析(具体的每个详细步骤就不罗列了),最终确认到登陆验证的入口函数是以下的函数。

重拳出击!我是这样对灰产外挂下手的

  • 接着结合下静态分析强大的IDA工具(这里也要感谢下IDA开发工具的,让我们破解软件还原代码成为了可能)。直接将外挂样本拖进IDA工具里面,还是一样直接先上字符串查看大法,接着查看字符串的x86汇编代码调用。

重拳出击!我是这样对灰产外挂下手的

  • 再通过IDA中强大的F5功能,将汇编代码转换为伪代码。

重拳出击!我是这样对灰产外挂下手的

  • 结合以上ollydbg工具的动态调试和IDA静态分析的伪代码结构,我们可以梳理出,该样本的主要通过调用InternetOpenA、HttpSendRequestA等API函数直接和https进行服务端通讯校验的,接下来将样本的网络验证简单的还原下大概的功能实现。
功能:还原登陆验证向服务端请教的实现
参数:就是直接服务器的url就可以
*/

bool loginSendHttpData(CString url)
{
 if(url.IsEmpty())
 {
  return false;
 }

 HINTERNET hInternet,hConnect,hRequest; 
 hInternet = (HINSTANCE)InternetOpenA(NULL, INTERNET_OPEN_TYPE_PRECONFIG, NULL,NULL,NULL); 
 if(!hInternet) 
 {
  InternetCloseHandle(hInternet);
  hInternet = NULL;
  return false;
 }

 hConnect = (HINSTANCE)InternetConnectA(hInternet,  url,  INTERNET_DEFAULT_HTTPS_PORT, NULL,  NULL,  INTERNET_SERVICE_HTTP,0,0);
 if(!hConnect)  
 {   
  if(hConnect)  
   InternetCloseHandle(hConnect);
  if(hInternet)  
   InternetCloseHandle(hInternet);  
 } 

 hRequest = (HINSTANCE)HttpOpenRequestA(hConnect,"POST",url, "HTTP/1.1" ,NULL,NULL,  INTERNET_FLAG_RELOAD|INTERNET_FLAG_NO_CACHE_WRITE,0);  
 bool ret= HttpSendRequestA(hRequest,0,0,0,0);
 if(!hRequest)  
 {
  if(hRequest)  
   InternetCloseHandle(hRequest);  
  if(hConnect)  
   InternetCloseHandle(hConnect);  
  if(hInternet)  
   InternetCloseHandle(hInternet);  
 } 

 return true;
}

2.2 外挂具体实现功能的前部分

  • 先上来一个热乎的外挂登陆后的具体功能实现界面

重拳出击!我是这样对灰产外挂下手的

  • 以下是ollydbg通过下函数的断点也就是int3断点方式调试,接着分析触发断点下的堆栈数据,通过堆栈数据可以定位到下面的关键函数位置。
  • 下面的函数call的主要功能流程:
  1. 就是通过WinExec启动notepad的程序。
  2. 启动程序后通过查找notepad程序的窗口类名Notepad获取进程id。
  3. 通过远程线程方式将真正的外挂模块QT模块注入到notepad程序里面
  4. 强制关闭掉外挂的主程序。
  5. 下图是ollydbg定位到外挂功能关键函数的主入口函数。

重拳出击!我是这样对灰产外挂下手的

  • 下图是通过ollydgb动态调试后选中的函数。它主要功能是通过查找窗口,实现远程线程注入模块的函数

重拳出击!我是这样对灰产外挂下手的

  • 结合强大的静态分析工具IDA,分析定位到外挂它是通过调用底层系统WinExec函数去启动notepad进程,为后续的外挂模块找了一个可以安全注入的宿主程序(将外挂的主要模块放在记事本进程隐藏起来)。

重拳出击!我是这样对灰产外挂下手的

  • 通过PostQuitMessage消息机制强制关闭自身的外挂程序(这个是为了防止外挂程序被游戏反外挂检测到的操作)

重拳出击!我是这样对灰产外挂下手的

  • 外挂功能一顿操作后终于将最重要的外挂模块通过远程线程方式注入到notepad进程中,这个QT模块也将开启所谓的隐身蹲守模式,独自蹲守着那个一直期待的游戏客户端的启动并将游戏客户端的重要内存数据进行修改。

重拳出击!我是这样对灰产外挂下手的

  • 以上就会外挂前部分的功能实现,我们接下来来还原下这外挂的具体实现
  • 启动外挂的总流程
void  startNotepad()
{
 //启动notepad程序
 WinExec("\\system32\\notepad.exe",SW_SHOW);
 //通过窗口类名获取进程信息
 HWND hWnd = FindWindowA(NULL, "Notepad");
 DWORD dwPid = 0;
 GetWindowThreadProcessId(hWnd, &dwPid);
 //远程线程注入dll
 InJectNotepad(dwPid, "QT.dll");
 //强制关闭外挂程序
 PostQuitMessage(WM_QUIT);
}
  • 注入QT模块到记事本程序的实现
{
   if (DllName.IsEmpty())
       return false;

   HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,   FALSE, processId);                                      
   if (hProcess == INVALID_HANDLE_VALUE)
       return false;

   LPVOID pszDllName = VirtualAllocEx(hProcess, NULL, 4096,  MEM_COMMIT, PAGE_EXECUTE_READWRITE);               
   if (NULL == pszDllName)
    return false;

   bool bRet = WriteProcessMemory(hProcess, pszDllName, DllName, MAX_PATH, NULL);
   if(false == bRet)
    return false;

   HANDLE m_hInjecthread = CreateRemoteThread(hProcess, NULL,0, (LPTHREAD_START_ROUTINE)LoadLibraryA,  pszDllName,  NULL,  NULL);                                          
   if (NULL == m_hInjecthread)
    return false;

   DWORD dw = WaitForSingleObject(m_hInjecthread, -1);
   DWORD dwExitCode;
   GetExitCodeThread(m_hInjecthread, &dwExitCode);
   HMODULE m_hMod = (HMODULE)dwExitCode;
   BOOL bReturn = VirtualFreeEx(hProcess, pszDllName, 4096, MEM_DECOMMIT);
   if (NULL == bReturn)
      return false;

   CloseHandle(hProcess);
   hProcess = NULL;

   return true;
}

2.3 外挂具体实现功能的后部分

  • 接下来我们再看下这个外挂中最重要的QT模块都干了什么事情。
  • 遍历当前环境下的所有启动的进程。
  • 将对游戏客户端进行远程线程注入修改游戏客户端内存数据以此实现外挂的功能。
  • 下图就是QT模块的通过IDA工具简单的截图。

重拳出击!我是这样对灰产外挂下手的

  • 我们在把变量当前环境下的进程信息代码也还原下,远程线程注入代码的就不实现了,可以参考下前面的远程线程注入dll方式
//遍历游戏进程名称获取的进程的pid
DWORD GetProcessId(CString pszProcessName)
{
    HANDLE hProcess = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    if (INVALID_HANDLE_VALUE == hProcess)
    {
        return 0;
    }

    DWORD dwProcessId = 0;

    PROCESSENTRY32 process32 = { 0 };
    process32.dwSize = sizeof(PROCESSENTRY32);

    BOOL bRetProcess = FALSE;
    bRetProcess = Process32First(hProcess, &process32);

    do
    {
        if (_tcscmp(pszProcessName, process32.szExeFile) == 0)
        {
            dwProcessId = process32.th32ProcessID;
            break;
        }

        bRetProcess = Process32Next(hProcess, &process32);
    } while (bRetProcess);
    CloseHandle(hProcess);

    return dwProcessId;
}

3.分析外挂样本的反检测功能

  • 外挂做了敏感字的规避,也就是外挂样本的窗口标题外挂窗口中没有过多的敏感文字展示。
  • 外挂样本通过注入到notepad的宿主进程中在进行操作外挂,也就是没有直接在外挂样本中操作这个功能,也是一个反外挂检测的一个方式。

如何学习呢?有没有免费资料?

今天免费分享 免费分享!

以上大型逆向安全学习资料获取方式:

转发 !

转发 !

转发 !关注我 私信回复关键词:“ 逆向 ” 即可免费领取!

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
李志宽 李志宽
2年前
黑灰产行业是怎么运行的?游戏黑灰产识别和溯源取证
游戏中的黑灰产一般来说,黑色产业指的是从事具有违法性的活动且以此来牟取利润的产业。而灰色产业则指的是不明显触犯法律和违背道德,游走于法律和道德边缘,以打擦边球的方式为“黑产”提供辅助的争议行为。游戏中的黑灰产主要围绕着:外挂辅助软件、盗号软件、工作室、私服、木马、钓鱼软件。外挂:外挂就是一种基于游戏进行作弊的软件,通过利用第三方软件或程序对游戏数据进行修改,
李志宽 李志宽
2年前
让人头疼的吃鸡外挂,一起来逆向分析一波
前言:最近在浏览某网络论坛,看到一款刺激战场的吃鸡外挂软件下载量很高,出于对游戏外挂样本的敏感及逆向的专注,就从论坛上下载一个样本,并进行对该游戏外挂样本,深度功能分析及还原破解的逆向实践,主要从外挂样本的功能表现,样本的基础属性、样本的实现功能、样本的验证功能破解进行实践。基本属性(分析这些未知的软件切记得在虚拟机环境下进行)启动游戏辅助样本后,从表面上
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
Prometheus监控学习笔记之PromQL简单示例
0x00简单的时间序列选择返回度量指标http_requests_total的所有时间序列样本数据:http_requests_total返回度量指标名称为http_requests_total,标签分别是job"apiserver",handler"/api/comments"
Wesley13 Wesley13
3年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
11个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43