网吧系统包的安全分析,看看这个网吧系统包下载安装了啥
现在网上很多网吧系统万能包,镜像包,公包。这些公包很多都是挺安全的,方便了咱们网维做系统找一个好包的烦恼,但是也有一些包,在偷偷的干一些见不得人的事,在一些安全论坛上看到了一些技术型很强的网吧系统包分析的文档,现在分享如下:
此时已经是深夜,饥肠辘辘,吃碗胡辣汤了继续
下载zktdx64.dll后,内存加载到当前进程
文件下载代码
我们模拟包头下载一下zktdx64.dll 看看是个什么鬼:
依然是UPX3.91加壳的,脱壳得到文件大小427,008 字节 丢入IDA 64
入口函数DllMain里面的一些函数作用:
无盘超级用户和ProcessMonitor的检测
StartAddress线程入口
字符串都进行了加密
跟进去看字符串如何解密
字符串解密函数
解密后 的字符串内容:
下载驱动
又一个内存加载DLL
内存加载DLL文件的HEX数据
原文链接:
网吧某系统包全分析(2) - 电脑问题互助区 - 火绒安全软件
天下网吧·网吧天下
闽公网安备35010202000238号