该样本为帖子[讨论]抠下来的,过火绒-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com看到的,当时闲的没事下载来看了看。样本运行后会对电脑文件加密,并且删除了卷影文件,防止通过磁盘工具恢复。
运行效果以及行为弹出网页
隐藏了所有的文件夹,并创建了新的文件夹,实则为快捷方式,右键属性可看到重定向。
加密了文件,无法打开
对文件进行了截断操作,加密。
...
一、样本:
[1]运行效果:
点击确定后就无任何反应。
二、静态分析[1]程序信息
MD5 fdd9fd0249d48d8c6d991741c67fcfebSHA-1 ff0181242825b5bb8cac1d4d17e8377352e3aa55SHA-256 6a9bdabc4599618513de5c963972929de9322c486e84e101e177c0868...
这里没有放虚拟机运行,直接放微云沙盒跑,样本运行效果如下
提示是否要继续运行,之后电脑会出现各种弹窗,然后会重启,重启后直接出现彩虹猫并且播放音频
样本分析
样本名
彩虹猫
MD5
19dbec50735b5f2a72d4199c4e184960
SHA-1
6fed7732f7cb6f59743795b2ab154a3676f4c822
SHA-256
a3d571...
作为当代不争气的青年代表,在放弃挣扎前奋笔写下最后一篇文章,之后不问江湖事。
IL2CPP我就不介绍了,显得水文字。搞过U3D的男人都懂,IL2CPP模式打包的游戏,游戏下面会存在一个名为global-metadata.dat的文件,这个东西解包之后会得到一个dump.cs和Mono模式下的所有DLL。那么综合网上大部分的教程来说,他们只会用dump.cs来看偏移,虽然直接用dnspy打开dl...
很久不来看雪了,这段时间过得真的是一言难尽。许久的发呆后决定干点有意义的事,于是乎就顺手来写一篇技术文章,算是本年的打卡。
如题所示,U3D的Mono解密,这个玩意我昨晚在我的技术群里貌似看到说U3D是要弃用了Mono这个机制,也不知道是真是假,趁着还没弃用,我也就来说说这个机制的一个另类解密。
关于Mono这东西我就不啰嗦了,我就直接进入正题。众所周知,Mono的加密主要是针对 Assembly...
前言该文章将邀请世界第一的编程语言-易语言来为我们演示。
吹逼随着好玩的游戏越来越多,盖佬人才越来越突出,好玩的游戏+一款牛逼的WG成为了一个老挂逼的日常生活。鲁迅说过‘有乐同享,有难同当‘,于是乎,老挂逼们开始投身于直播行业,以‘高超’的技术,来向大众传递游戏胜利的快乐。为了防止大众偷学到自己的技术,一种技术诞生了-反截图。
啥叫反截图顾名思义,就是让你截取不到你想截取的图片呗。这时聪明人又...
开场白和表情包我就不加了了,文采和资源没这么丰富,直接步入正题。本次聊聊的功能为目前fps较为热门功能:子弹追踪。
简单聊聊:该功能呢早期主要是火在pubg系列的游戏,因为在类似pubg系列游戏中,自瞄显得稍微鸡助,然后某些大佬就弄出了这么一个功能,子弹追踪。其实它的一个效果与自瞄不同,自瞄的表现效果为准星死死锁住敌人。可子弹追踪的表现效果为子弹死死锁住敌人,也就是说准星在不需要锁住人的情况下开枪...
新的一年,先祝看雪各位成员新年快乐!另外也要多注意身体和卫生,今年与往年大大不同,这次瘟疫大爆发且气象异常搞得人心不安,不要在这样一个欢喜的节日里把自己交代了。在次也希望武汉能挺过这次大劫,武汉加油!
正文:昨天得到一款PubgLite辅助,然后看到一些好玩的功能就尝试着去分析一下,看看能不能为我所用。分析的第一步,当然是先运行查看效果。由于该辅助会被游戏检测,所以只放一张菜单图。
从左上方的...
1、 飞刀大概两种思路:
1、动画音效。不同的动作有不同音效,并且在cs游戏下通常可以看到音效.wav文件,因此可以通过对音效的过滤回溯到相关逻辑。比如CreateFileA/W、PlaySound。
2、逻辑分析。手持枪械时,可以触发攻击逻辑,但近战武器则无法触发,通过定位射击逻辑回溯上层,找到原始的攻击触发逻辑进行修改。
这里使用第二种方法,这里可以假设伪代码如下:
12345678910bo...
一、基础理论知识既然是吃药call,那么我们需要先思考一下这个call的一些信息,比如说他的参数个数,触发时机等等,这样的话才能方便我们去逆向找出这个call。
首先我们明确两点:1、这个游戏的是一个网络游戏,那么就说明他和服务器存在着数据的交互,用来保证数据的正确性**(封包的检测),举个例子:我们要做某个动作,那么此时客户端(就是我们正在玩的游戏)就会向服务器发送一个封包数据,然后服务器对这个...