好心群友给的外挂大礼包——记一次远控马分析

文章预览

最近玩MC的3c3u服务器，是一个类似2b2t的无政府服务器，加了官方群，一个好心大哥给我发了一个挂。 如此好心，我当然要开心地收下。 UPX -d 脱掉。 IDA32启动。 主程序 WinMain就一个函数，跟进。 逻辑如图，跟踪一下函数，函数名和变量名都是我恢复的。一开始以为是SMC，后来发现是反射加载dll。加载函数如下。 解密函数如下，一眼xxtea。 至此程序逻辑已经较为清晰：反射加载dll，具体为从密文以标准xxtea算法解密数据，然后把数据地址传入加载dll函数，最后调用dll中的函数，函数名为前面传进来的StudyHard。 dll dump dll的过程可谓艰辛，由于打CTF打多了，最开始写了一个c脚本，结果发现0x15000个u_int32似乎不好打印，后来又尝试保存到文本，效果也一般。（可能是IDA哪里分析出问题了）后来又尝试了下断点让他自己解密，因为他这个dll想执行最后肯定 ………………………………