1.该木马的原理主要是通过替换输入法来加载自己的dll;主要的步骤: 主要通过创建三个线程来完成; 1.提升权限 ,查找目标游戏进程,然后将其结束; 2.然后创建 两条线程 一条线程 主要是安装自己的输入法 , 在系统目录下生成 chinasougou.ime 文件 ,然后激活该输入法; 另外一条线程主要是到服务器中下载dll文件,先把两个系统文件(Ksuser.dll 和 midimap.dll) ,更名为(yuKsuser.dll,yumidimap.dll),然后在系统目录下以 文件名为asianlan8.dll 生成,然后分别替换系统目录下的另外两个 系统文件 Ksuser.dll 和 midimap.dll ; 3.dll下载完之后 ,然后创建一个线程,主要是判断游戏有没有再次 被打开,如果打开的话,则把 下载来的asianlan8.dll注入到游戏进程中;具体情况直接看代码 ,附近中的bin目录下fu.exe为盗号木马源程序, asianlan8.dll为盗号木马生成的dll,此dll 主要是通过hook游戏的模块来达到盗号目的;现在发现好多盗号木马都是通过输入法来加载自己的dll(个人看法); 没什么技术含量 ,大牛飘过,有不足之处还请见谅;
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)