-
-
[原创] 刷视频播放量svchost分析
-
发表于: 2019-2-28 14:51
-
Detect It Easy 显示用了MPRESS packer. (http://www.matcode.com/mpress.htm)
根据ESP定律,下硬件访问断点后到达入口点,
用Scylla 插件Dump, Fix Dump 得到脱壳后的文件svchost_dump_SCY.exe
查看一下字符串,发现Error: invalid command-line:
新建c:\mclick.txt,打开 DebugView 就能看到调试信息了
处在 OnInitDialog 函数里
这个程序需要参数才能运行,随便给个参数 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
命令行参数经过了编码,解码后得到 m_dwUserId
v6 为零会跳过正常的流程,在调试器直接修改 eax 的值为1即可
<MCLICK> Open url: https://info.lm.tv.sohu.com/csl/0000000ac7a4bc7520f0aac9be7f25540a952eebxdl/31530.do
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
