一起游 手游攻略 新游动态 exe脱壳 警惕游戏捆马骗局,抢滩登陆 2006 暗藏玄机

exe脱壳 警惕游戏捆马骗局,抢滩登陆 2006 暗藏玄机

时间:2024-06-05 03:01:24 来源:网络整理 浏览:0

如今恶意软件无处不在,各种手段都有,就连游戏也不例外。我在BT Home上看到一款叫Beach 2006的游戏,看介绍还不错。恶意软件主人敢于宣称经检查无病毒,可见他对自己的免杀能力很有信心。现在,我们来一步步揭开他的骗局。

下载完Beach 2006.exe后,确实显示无病毒,用瑞星、金山毒霸也显示无病毒,用PEID检查,好像没什么问题。但是安装包怎么会是C++6.0呢?安装包居然也要处理?为什么?难道是为了躲避杀毒?这更让我怀疑了。

现在就和绑马者展开正面交锋吧!

一开始以为简单,以为直接用安装包解包工具就可以搞定,没想到我所有的安装包解包工具都说解不开,我以为是文件某些结构被改了,所以无法识别。好吧,我们就简单点吧,直接运行安装包,不过记得先拔掉网线。

这里介绍一个很好的工具1.18,利用1.18的线程监控功能,我们可以轻松检测到马的所有动作。

我们运行一下,什么都不点,直接看,2006.exe就是安装包的主文件,仔细看,2006.exe启动了一个2.tmp和3.tmp,然后创建了文件。然后创建了.exe这个东西,看上去像是一个网站,其实就是鸽子的主文件,我们来查看一下,通过测试,我们可以看出这家伙用了两个加壳工具,但是ewido/还是可以查杀的。

木马已经进入系统了,我们来抓一下,看一下服务:看,跟它的主文件同名,这个文件就是它释放的木马,可以看到红色的.exe,就是木马进程。木马抓到了,现在需要处理一下,我们可以抓到后台捆绑木马的人,查出他的IP,然后使用我们强大的攻击工具把他干掉。哈哈,我个人喜欢把文件改成DLL,这样可以防止误操作,而且可以被PE工具检测到。我们可以看到是加壳的,可以进一步确认是V3.7->*。

为了逆向抓住拴马人,我们先拆壳。用加法,再用ESP定理,在上下端点,我们又回到这里。拆壳不是成功了吗?不,拴马人加了两次。用同样的方法,我们解题,又回到这里。下面是拴马人自己写的花哨指令。一路跟着走。最终我们会到达下面的地方。从这里开始,所有的壳都拆完了。作者还写了Ultraexe脱壳, 864。

= =push . Text =雨花石版服务器已安装成功!

哈哈,名字就对了,后面再看看,先把反向连接IP解决掉,我们来这里:

堆栈 ss:[]= edx=,(ASCII “ ) 堆栈 ss:[]=,(ASCII “”) edx= 堆栈 ss:[]=,(ASCII “$()\”) edx= 堆栈 ss:[]=,(ASCII “C:\WINNT\”) edx=,(ASCII “$()\”) 堆栈 ss:[]=,(ASCII “”) edx= 管理卷影复制服务制作的软件卷影副本。

从以上几个方面,可以非常容易的得到所有的配置:

C:\>ping [202.110.91.221],数据为 32 字节:来自 202.110.91.221 的回复:字节=32 时间=78ms TTL=112

套马师已上线。

如果要杀他,我们可以用DDOS工具攻击他的*80端口,很快他就会下线。

OK。我们还有一件事要做。原来的游戏是捆绑版本,我们需要分离出不含恶意软件的纯净版本。由于它是一个捆绑器,会释放两个文件:2.tmp 和 3.tmp,2.tmp 才是游戏真正的安装文件,我们把它复制出来。我们再用一下,我把它命名为 2.exe 看看,没有生成任何新文件,说明这才是真正的游戏。这是再次用 PEID 扫描的结果,确实是安装包。说明解包成功,我们得到了一个真正的纯净安装包。

接下来我们来学习如何避杀。鸽子的主文件被调用,相当隐蔽,很容易被误认为是合法的网站空间。两次使用了v3.7 -> *,利用自己编写的花指令,成功实现了大范围的避杀。我们来看看带马的原版安装包,是捆绑的机器,使用加密的入口代码,将自动生成的vmp0,vmp1段修改为rsrc1,vmp1,就可以避免被看到了。然后再次使用花指令,这个花指令是VC++6.0的入口代码。

当启动带马的安装包时,鸽子会自动释放并改名为3.tmp在临时目录下运行。然后真正的安装包就被释放为2.tmp在临时目录下运行。我们只要把2.tmp复制过来改名为2.exe,就可以得到纯净版的游戏了。2.exe就是纯净版的游戏,.exe就是马。我们的工作顺利完成了。

综上所述,我们可以利用这个很容易找到问题的事实,来揭穿这个拴马的人。

如果你有可疑文件,可以在监控中运行它们,然后就可以轻松找出是否有问题。这种方法比/组合监控更好,强烈推荐!

对付这些恶意挂马器,我们必须能够轻易识破他们的伎俩。如果要对恶意挂马器进行逆向攻击,可以使用一些扫描工具或者溢出工具进行攻击。如果实在没有其他办法,可以使用SYN攻击工具直接攻击他的信鸽上线端口,这样肯定会让信鸽上线失效。当然,你可以去免费域名提供商那里关闭他的免费域名报告请求,具体细节由你决定。

最后,希望大家能够摆脱吊马拴马的痛苦,同时也希望那些以吊马拴马为荣的人能够停止,这对你们的技术提升有什么好处呢?

标题:exe脱壳 警惕游戏捆马骗局,抢滩登陆 2006 暗藏玄机
链接:https://yqqlyw.com/news/xydt/7356.html
版权:文章转载自网络,如有侵权,请联系删除!
资讯推荐
更多
  • exe脱壳 合天智汇前情提要:0x04flag
  • exe脱壳
    • 阴阳师4月22日更新内容:帝释天上线技能调整,红莲华冕活动来袭
    阴阳师4月22日更新内容:帝释天上线技能调整,红莲华冕活动来袭

    阴阳师4月22日更新内容:帝释天上线技能调整,红莲华冕活动来袭[多图],阴阳师4月22日更新的内容有哪些?版本更新

    2024-06-05
    四川电视台经济频道如何培养孩子的学习习惯与方法直播在哪看?直播视频回放地址
    四川电视台经济频道如何培养孩子的学习习惯与方法直播在哪看?直播视频回放地址

    四川电视台经济频道如何培养孩子的学习习惯与方法直播在哪看?直播视频回放地址[多图],2021四川电视台经济频

    2024-06-05
    湖北电视台生活频道如何培养孩子的学习兴趣直播回放在哪看?直播视频回放地址入口
    湖北电视台生活频道如何培养孩子的学习兴趣直播回放在哪看?直播视频回放地址入口

    湖北电视台生活频道如何培养孩子的学习兴趣直播回放在哪看?直播视频回放地址入口[多图],湖北电视台生活频道

    2024-06-05
    小森生活金币不够用怎么办?金币没了不够用解决方法
    小森生活金币不够用怎么办?金币没了不够用解决方法

    小森生活金币不够用怎么办?金币没了不够用解决方法[多图],小森生活金币突然就不够用的情况很多人都有,金币没

    2024-06-05