首页
社区
课程
招聘
[原创]浅析:某授权绕过steam令牌的背后究竟是何居心-CatGames
发表于: 2019-5-21 21:12 27287

[原创]浅析:某授权绕过steam令牌的背后究竟是何居心-CatGames

2019-5-21 21:12
27287

【文件名称】:最新94一键授权登陆软件.exe
【SHA256】:3ea0a9401a32215b757496aa04cb91d0db3b67dc6fab21c62cadc2506d6fb802
【运行环境】:win7
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【文件名称】:xxxxx.tmp---->TemporaryFile .exe
【SHA256】:1223344cfc53dfcb39fee77052b2e0ba747ee2fb78f4703d93cfc1c6f2beae87
【运行环境】:win7
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
【使用工具】:WinHex IDA OD PEID 
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

浅析目前市面上搭配黑号最常用的94授权 最早我拿到样本的时候 其实我是觉得没问题的,但是今天拿到样本后,它的一个报错 让我发现了问题,也就是图片上的那个报错,我本打算放弃,觉得这个应该没什么可疑的,但是复制此链接打开后F12看cookie会发现你自己当前QQ号的cookie都在

这里就有很大的问题

PEID查壳

程序载入OD后你会发现并不是易语言的常见OEPpush ebp

使用CreateProcessA创建一个新进程

 

使用CreateProcessA创建一个新进程

暂时先不管这个tmp到底是干嘛的 继续往下走

调用exitpocess后结束了进程

但是进程栏却多了一个进程

那么首先就是把注意力放在tmp文件上

使用winhex打开后发现其实这是一个可执行的程序 那么通过修改后缀名得到样本

他们的大小还是有区别的

通过分析修改后缀后的exe文件并没有什么可疑的行为

那么也许问题还是出在原来的程序上

至此大胆判断,目标程序执行流程应该是

为了找到它的病毒tmp 花了不少时间终于摸透了

需要把这个选项给关掉才可以看到他隐藏的文件

或者通过

Attrib cmd命令行查看也可以  

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

通过winhex查看文件 发现是一个可执行文件 并且UPX加壳

UPX脱壳可以使用ESP定律等方法 熟知原理后 为了方便使用脱壳机 并修改后缀为exe

如果看过我上一篇帖子的朋友 光看LOGO应该已经知道他是什么了



获取键盘记录

查询IE缓存与修改




取QQcookie


老生常谈了

键盘记录

获取浏览器缓存

创建一个新线程

获取注册文件(简单说一下这是干嘛的,用来存放用于系统COM+或者其他组件注册的相关文件。)



这个error也就是开头的报错

获取steam进程

窃取用户cookie文件

窃取Internet Explorer的缓存文件


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-1-31 19:52 被kanxue编辑 ,原因:
上传的附件:
收藏
免费 9
支持
分享
打赏 + 2.00雪花
打赏次数 1 雪花 + 2.00
 
赞赏  kanxue   +2.00 2019/05/22 感谢分享~
最新回复 (32)
雪    币: 164
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
带样本好评
2019-5-21 21:37
0
雪    币: 452
活跃值: (6128)
能力值: ( LV12,RANK:580 )
在线值:
发帖
回帖
粉丝
3
冰雪冬樱 带样本好评
快把你的雪B给我交咯
2019-5-21 23:12
0
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
4
CatGames 快把你的雪B给我交咯
深海哥你来辣
最后于 2019-5-22 08:07 被hzqst编辑 ,原因:
2019-5-22 08:06
0
雪    币: 452
活跃值: (6128)
能力值: ( LV12,RANK:580 )
在线值:
发帖
回帖
粉丝
5
hzqst CatGames 快把你的雪B给我交咯 深海哥你来辣
?????
2019-5-22 08:11
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
6
获取qq cookie能干啥  直接登陆对方qq?如果对方设置异地登陆手机验证 邮箱验证 也能绕过?另外百度云设置异地验证 是不是也能被绕过 细思极恐  市面上百度云破解网盘 是不是有毒 谁分析过? 
2019-5-22 11:53
0
雪    币: 452
活跃值: (6128)
能力值: ( LV12,RANK:580 )
在线值:
发帖
回帖
粉丝
7
killpy 获取qq cookie能干啥 直接登陆对方qq?如果对方设置异地登陆手机验证 邮箱验证 也能绕过?另外百度云设置异地验证 是不是也能被绕过 细思极恐 市面上百度云破解网盘 是不是有毒 谁分析过?
你看看上撸号器的贴吧
2019-5-22 11:55
0
雪    币: 452
活跃值: (6128)
能力值: ( LV12,RANK:580 )
在线值:
发帖
回帖
粉丝
8
至于百度云 充钱就完事了
2019-5-22 11:56
0
雪    币: 9626
活跃值: (1838)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
9
killpy 获取qq cookie能干啥 直接登陆对方qq?如果对方设置异地登陆手机验证 邮箱验证 也能绕过?另外百度云设置异地验证 是不是也能被绕过 细思极恐 市面上百度云破解网盘 是不是有毒 谁分析过?
QQ Cookie 貌似是指QQ快捷登录接口中的数据 拿到这个数据基本等于拿到了该QQ的所有权 可以实现发空间说说 向群/好友发消息 等操作
2019-5-22 12:15
0
雪    币: 5482
活跃值: (3272)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
10
Sprite雪碧 QQ Cookie 貌似是指QQ快捷登录接口中的数据 拿到这个数据基本等于拿到了该QQ的所有权 可以实现发空间说说 向群/好友发消息 等操作
正解 同时在拿到cookie的时候能拿到这个cookie当时的ip 只需要在使用的时候使用这个ip段就不会有异地的问题
2019-5-22 13:24
0
雪    币: 4709
活跃值: (1575)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
11
太细了。
2019-5-22 13:53
0
雪    币: 205
活跃值: (611)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
12
看评论,细思极恐
2019-5-23 09:29
0
雪    币: 4182
活跃值: (812)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
国内的马也就在这种初级水平混了。
2019-5-23 09:40
0
雪    币: 452
活跃值: (6128)
能力值: ( LV12,RANK:580 )
在线值:
发帖
回帖
粉丝
14
Hades一KXXY 国内的马也就在这种初级水平混了。
好的大佬 
2019-5-23 10:32
0
雪    币: 1042
活跃值: (495)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
黑吃黑吃黑
2019-5-23 16:44
0
雪    币: 452
活跃值: (6128)
能力值: ( LV12,RANK:580 )
在线值:
发帖
回帖
粉丝
16
Rookietp 黑吃黑吃黑
????
2019-5-23 20:21
0
雪    币: 183
活跃值: (2427)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
17
兄弟你的戏好多,现在大佬都这么皮的吗
2019-6-9 17:19
0
雪    币: 19
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
18
用过了之后怎么办啊
2019-9-8 12:36
0
雪    币: 452
活跃值: (6128)
能力值: ( LV12,RANK:580 )
在线值:
发帖
回帖
粉丝
19
mb_vxkwfbuo 用过了之后怎么办啊
什么
2019-9-8 14:22
0
雪    币: 248
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
20
我电脑现在一直在裸奔,看了你的帖子也太恐怖了吧  还是安装个杀毒软件吧
2019-11-11 13:37
0
雪    币: 61
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
嗯~ o(* ̄▽ ̄*)o火绒还是厉害呀
2019-11-12 02:18
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
22
大佬,我今天用这个94授权360报毒但我无视直接用了,现在才看到帖子
那这个木马在电脑留下的后门怎么清除呀
2019-11-14 12:46
0
雪    币: 452
活跃值: (6128)
能力值: ( LV12,RANK:580 )
在线值:
发帖
回帖
粉丝
23
wx_Yi_745 大佬,我今天用这个94授权360报毒但我无视直接用了,现在才看到帖子 那这个木马在电脑留下的后门怎么清除呀
去你的C:\Users\Administrator\AppData\Local\Temp这里找
2019-11-14 13:03
0
雪    币: 185
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
24
    点赞+收藏
2019-12-13 16:37
0
雪    币: 300
活跃值: (2447)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
mark
2019-12-13 22:56
0
游客
登录 | 注册 方可回帖
返回
//