🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

Windows按键精灵分析

mb-bkzfwnlo 看雪学苑 2022-07-01

本文为看雪论坛精华文章

看雪论坛作者ID:mb_bkzfwnlo




概述

1、基本信息

   
样本无壳。


数字签名是吊销签名。


2、外挂简介

引用徐胜的一段话"外挂是一种特定的辅助软件。外挂与木马程序的区别在于,外挂是用户主动使用的,而木马则是在用户的终端上偷偷运行的。根据外挂是否有模块进行游戏客户端,把外挂大致分成两大类,即内存挂和非内存挂。“很显然这个样本非内存挂。

3、流程图




技术细节详情分析


1、动态分析

文件行为


释放的压缩包存在C:\Users\<username>\AppData\Roaming\MyMacro启用。

网络行为



通过端口8888和51019向117.27.139.134传输信息。

注册表行为


创建回调键值去启用注册的CLSID。


增添键值,追踪原文件。

2、调试分析

初始化获取系统时间,跳入函数起始函数,检查文件和所在路径。


进入到main函数后,对异常,以及线程对临界区数据的读取做了进一步限制。


屏蔽系统错误窗口。


生成相应的配置信息。


根据参数的信息,可以知道这是监视对话框、消息框、菜单或滚动条中的输入事件而生成的消息。


如上图,这个函数是profuncaddreess,调试他。


如果没有hook成功,将会直接跳转。设置成功,返回原函数。


经过多跳,跳入设置设置注册表的函数。


设置消息过滤,并向OLE注册IMessageFilter接口,根据每个线程只能注册一个消息过滤器。多线程单元中的线程不能有消息过滤器。



初始化com组件,初始化控件,初始化gdip函数库。


创建guid,重启管理器。


比对特殊字符。


通过下面的网址返回相应的信息。


设置事件跟踪。


监控鼠标的移动,点击,和时间间隔。


函数最后取消注册,取消互锁,取消钩子。用 dbgview 看一下谁与客户端进行交互。


QQbox 客户端进行进程间管道通信。
runner.exe 对 Visible、Enabled、Left、Top、Width、Height、ZOrder、Text、TextColor、BackColor、Hwnd、NormalColor、OverColor、FocusColor、Appearance、ColorScheme、Password 这些参数进行判断。


3908 为原外挂程序访问网址。




外挂可执行程序释放的 runner.exe 执行脚本。


runner加了所谓的强壳。


建议用1.4脚本去调试,也可以硬调。使用1.4脚本脱壳,可以参照我的od配置。


由于限制附件的大小,这是我OD的所有配置,运行起来没有异常。


经过调试两种方法都可行。


通过 loadMenu 和 GetSubMenu 这种方式去执行脚本内容。




到此为止找到脚本。




 


看雪ID:mb_bkzfwnlo

https://bbs.pediy.com/user-home-861115.htm

  *本文由看雪论坛 mb-bkzfwnlo 原创,转载请注明来自看雪社区。




《安卓高级研修班》2021年秋季班火热招生中!



# 往期推荐





公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com



球分享

球点赞

球在看



点击“阅读原文”,了解更多!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存