样本无壳。

  数字签名是吊销签名。

  引用徐胜的一段话"外挂是一种特定的辅助软件。外挂与木马程序的区别在于，外挂是用户主动使用的，而木马则是在用户的终端上偷偷运行的。根据外挂是否有模块进行游戏客户端，把外挂大致分成两大类，即内存挂和非内存挂。“很显然这个样本非内存挂。

  释放的压缩包存在C:\Users\<username>\AppData\Roaming\MyMacro启用。

  通过端口8888和51019向117.27.139.134传输信息。

  创建回调键值去启用注册的CLSID。

  增添键值，追踪原文件。

  初始化获取系统时间，跳入函数起始函数，检查文件和所在路径。

  进入到main函数后，对异常，以及线程对临界区数据的读取做了进一步限制。

  屏蔽系统错误窗口。

  生成相应的配置信息。

  根据参数的信息，可以直到这是监视对话框、消息框、菜单或滚动条中的输入事件而生成的消息。

  如上图，这个函数是profuncaddreess，调试他。

  如果没有hook成功，将会直接跳转。设置成功，返回原函数。

  经过多跳，跳入设置设置注册表的函数。

  设置消息过滤，并向OLE注册IMessageFilter接口，根据每个线程只能注册一个消息过滤器。多线程单元中的线程不能有消息过滤器。


  初始化com组件，初始化控件，初始化gdip函数库。

  创建guid，重启管理器。

  比对特殊字符。

  通过下面的网址返回相应的信息。


  设置事件跟踪。

  监控鼠标的移动，点击，和时间间隔。

  函数最后取消注册，取消互锁，取消钩子。
  用 dbgview 看一下谁与客户端进行交互。

  QQbox 客户端进行进程间管道通信。
  runner.exe 对 Visible、Enabled、Left、Top、Width、Height、ZOrder、Text、TextColor、BackColor、Hwnd、NormalColor、OverColor、FocusColor、Appearance、ColorScheme、Password 这些参数进行判断。

  3908 为原外挂程序访问网址。



  外挂可执行程序释放的 runner.exe 执行脚本。

  runner加了所谓的强壳。

  建议用1.4脚本去调试，也可以硬调。使用1.4脚本脱壳，可以参照我的od配置。

  由于限制附件的大小，这是我OD的所有配置，运行起来没有异常。

  经过调试两种方法都可行。

  通过 loadMenu 和 GetSubMenu 这种方式去执行脚本内容。

  到此为止找到脚本。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课