天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

网吧系统包的安全分析,看看这个网吧系统包下载安装了啥

现在网上很多网吧系统万能包,镜像包,公包。这些公包很多都是挺安全的,方便了咱们网维做系统找一个好包的烦恼,但是也有一些包,在偷偷的干一些见不得人的事,在一些安全论坛上看到了一些技术型很强的网吧系统包分析的文档,现在分享如下:


此时已经是深夜,饥肠辘辘,吃碗胡辣汤了继续

下载zktdx64.dll后,内存加载到当前进程
文件下载代码
我们模拟包头下载一下zktdx64.dll 看看是个什么鬼:
依然是UPX3.91加壳的,脱壳得到文件大小427,008 字节  丢入IDA 64
入口函数DllMain里面的一些函数作用:
无盘超级用户和ProcessMonitor的检测
StartAddress线程入口
字符串都进行了加密
跟进去看字符串如何解密