文件名称：
病毒样本.exe
SHA256：
9d2e499ddc4b7a1ed3a288f0bda807b09b5d701936d53b670f61862a06ec57c1
---------------------------------------------------------------------------------------------------------------------

首先在文章开头先@腾讯电脑管家 因为此病毒不管是腾讯电脑管家指定病毒扫描还是直接运行 腾讯电脑管家都不给予报毒和拦截处理（文章中有测试GIF图）

0x00

今日在分析一款游戏辅助的执行流程是发现的一些蹊跷，此款辅助会在C盘写入一个文件，文件LOGO是dota的LOGO经验告诉我 这玩意是有问题

0x01

外挂只有一个执行程序，我在分析的时候发现此款辅助会释放一个EXE

索性我就把它提取出来了 PE DUMP即可 一般这种捆绑的exe都放在Resource里面

所以提取吧

我把提取出来的分为两类

UPX 好家伙 手脱ESP定律等方法 我这里快捷直接使用脱壳机

脱壳完成

我下了一些注册表断点发现这个程序居然点进行直接停止了

个人觉得 要么这个病毒模块的Resource中还有exe,dll 释放到其他进程 要么就是他有反调试

我对于易语言常用的几个反调试的API进行了拦截 都是直接运行程序停止

那么至此 也可以得出结论 这玩意绝对Resource中还有别的东西

果不其然

通过EXEinfo对外挂模块进行提取，发现中间还真有一个dll那么对于这个dll 开搞之前，先看看这个exe是如何把这个dll释放到其他进程的,还是做了其他事情

运行时把自身拷贝到C:\Users\ADMINI~1\AppData\Local\Temp\10412832\TemporaryFile

并把自身后缀修改

运行时修改后缀即可

我们自行加一个后缀.exe

即可看到病毒程序

获取系统中所有运行中的进程和线程快照

CreateToolhelp32Snapshot()获得当前运行进程的快照后，再通过process32First函数获得第一个进程句柄

通过Process32Next获取下一个进程句柄

这里按F9之后 直接停止在此界面 此病毒正在获取我所有的进程快照并通过Process32Next获取下一个进程的句柄

通过这个函数往堆栈的上面找可以看到病毒程序获取的进程信息

继续F9运行

病毒结束

我们回到C:\Users\ADMINI~1\AppData\Local\Temp\10412832\TemporaryFile

找到那个TemporaryFile查看那个病毒拷贝自身的exe

我至此还以为这个病毒有什么新颖的地方

终究依旧是这样 获取QQCookie 然后传回去

这是关于获取Steam进程后 再获取的授权文件
ssfn2这种东西也就是市面上黑号啊 什么的啊那些叫什么91 94授权的东西
写一个文件到steam某目录 然后再登陆黑号 需要登陆的黑号就不再需要邮箱steam令牌等各种验证
可以简单理解为一个身份令牌 有了这个令牌 你的电脑对于steam来说就是可信的
那么也没什么看的 就是正常的获取返回给病毒客户端
为什么我说这个是病毒客户端呢？后面我会找例子说明

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课