【文件名称】：最新94一键授权登陆软件.exe
【SHA256】：3ea0a9401a32215b757496aa04cb91d0db3b67dc6fab21c62cadc2506d6fb802
【运行环境】：win7
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【文件名称】：xxxxx.tmp---->TemporaryFile .exe
【SHA256】：1223344cfc53dfcb39fee77052b2e0ba747ee2fb78f4703d93cfc1c6f2beae87
【运行环境】：win7
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【使用工具】：WinHex IDA OD PEID 
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

浅析目前市面上搭配黑号最常用的94授权 最早我拿到样本的时候 其实我是觉得没问题的，但是今天拿到样本后，它的一个报错 让我发现了问题，也就是图片上的那个报错，我本打算放弃，觉得这个应该没什么可疑的，但是复制此链接打开后F12看cookie会发现你自己当前QQ号的cookie都在

这里就有很大的问题

PEID查壳

程序载入OD后你会发现并不是易语言的常见OEPpush ebp

使用CreateProcessA创建一个新进程

使用CreateProcessA创建一个新进程

暂时先不管这个tmp到底是干嘛的 继续往下走

调用exitpocess后结束了进程

但是进程栏却多了一个进程

那么首先就是把注意力放在tmp文件上

使用winhex打开后发现其实这是一个可执行的程序 那么通过修改后缀名得到样本

他们的大小还是有区别的

通过分析修改后缀后的exe文件并没有什么可疑的行为

那么也许问题还是出在原来的程序上

至此大胆判断，目标程序执行流程应该是

为了找到它的病毒tmp 花了不少时间终于摸透了

需要把这个选项给关掉才可以看到他隐藏的文件

或者通过

Attrib cmd命令行查看也可以  

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

通过winhex查看文件 发现是一个可执行文件 并且UPX加壳

UPX脱壳可以使用ESP定律等方法 熟知原理后 为了方便使用脱壳机 并修改后缀为exe

如果看过我上一篇帖子的朋友 光看LOGO应该已经知道他是什么了

获取键盘记录

查询IE缓存与修改

取QQcookie

老生常谈了

键盘记录

获取浏览器缓存

创建一个新线程

获取注册文件（简单说一下这是干嘛的，用来存放用于系统COM＋或者其他组件注册的相关文件。）

这个error也就是开头的报错

获取steam进程

窃取用户cookie文件

窃取Internet Explorer的缓存文件

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！