了解卡密以及外挂原理

天天在干嘛   ·   发表于 6个月前   ·   编程代码
好了,这又是我一次发帖,我看葫芦侠其他也很多在研究说安卓卡密,我也发个简单的吧!

不用猜了,采用原理也是云注入,这里声明一下,这个软件不是我的,也不是发外挂软件,这里葫芦侠管理可以进行查验,只教技术。

我们的注入分为静态注入和动态注入,当然还有其他的注入模式,以及切割分析模式等等。安卓叫做分割

1. 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入
这种技术是用于将恶意软件注入另一个进程的最常用技术之一。 恶意软件将路径写入到其他进程的虚拟地址空间中的恶意动态链接库(DLL),并通过在目标进程中创建远程线程来确保远程进程加载它。

恶意软件首先需要定位注入的进程(例如svchost.exe)。这通常通过调用三个应用程序接口(API)来搜索进程:CreateToolhelp32Snapshot,Process32First和Process32Next。
CreateToolhelp32Snapshot是用于枚举指定进程或所有进程的堆或模块状态的API,它返回一个快照。

Process32First检索快照中有关第一个进程的信息,然后在循环中使Process32Next来遍历它们。

找到目标进程后,恶意软件通过调用OpenProcess获取目标进程的句柄。

如图2所示,恶意软件调用VirtualAllocEx有一段空间来写入其DLL的路径。

恶意软件然后调用WriteProcessMemory写入分配的内存中的路径。
最后,为了让代码在另一个进程中执行,恶意软件调用API,如CreateRemoteThread,NtCreateThreadEx或RtlCreateUserThread,后两者是为文档化的函数。

然而,一般的想法是将LoadLibrary的地址传递给这些API之一,以便远程进程必须代表恶意软件执行DLL。CreateRemoteThread被许多安全产品跟踪和标记。
此外,它会在磁盘上的留下恶意DLL文件。考虑到攻击者注入代码的目的一般是防御,所以复杂的攻击者可能不会使用这种方法。
下面的截图显示了一个名为Rebhip的恶意软件便是利用了这种注入技巧。

2. PE文件注入

恶意软件不会传递LoadLibrary的地址,而是将其恶意代码复制到现有的打开进程中,并使其执行(通过一个小的shellcode或通过调用CreateRemoteThread)。PE注入相比于LoadLibrary进行注入的一个优点是恶意软件不必在磁盘上释放恶意DLL。类似于第一种注入技术,恶意软件在主机进程(例如VirtualAllocEx)中分配内存,而不是写入“DLL路径”,它通过调用WriteProcessMemory写入其恶意代码。然而,使用这种方法的缺陷是更改了复制映像的基址。当恶意软件将其PE注入另一个进程时,它将具有不可预测的新基址,所以要求它动态地重新计算其PE的固定地址。为了克服这一点,恶意软件需要在主机进程中找到其重定位表地址,并通过循环遍历其重定位描述符来解析复制的映像的绝对地址。

15 Reply   |  Until 6个月前 | 4099 View

yu&f
发表于 6个月前

一楼占楼了

评论列表

  • 加载数据中...

编写评论内容

天天在干嘛
发表于 6个月前

一二三四五找你找得好辛苦

评论列表

  • 加载数据中...

编写评论内容

linxun
发表于 6个月前

不错不错[滑稽]

评论列表

  • 加载数据中...

编写评论内容

1211302545
发表于 6个月前

其实还有一大堆,例如劫持补丁,动态注入,静态分析,我都没讲,下次有机会再说[阴险][阴险]

评论列表

  • 加载数据中...

编写评论内容

耶i。。。
发表于 6个月前

[哈哈]虽然我看不懂,但是挺高级的

评论列表

  • 加载数据中...

编写评论内容

喂,妖二灵吗?
发表于 6个月前

电脑上的模拟器外挂是不是也是云注入[滑稽][滑稽]

评论列表

  • 加载数据中...

编写评论内容

1649644933
发表于 6个月前

电脑上的外挂,严格来说不是云注入,因为电脑那个模拟器,用云注入,可能会导致失败,还有就像mt管理器可能导致没办法保存,这是模拟器导致的[阴险][阴险][阴险]

评论列表

  • 加载数据中...

编写评论内容

221121
发表于 6个月前

那你会破解电脑模拟器上的外挂吗[滑稽][滑稽][滑稽]

评论列表

  • 加载数据中...

编写评论内容

221121
发表于 6个月前

大佬出期电脑模拟器上的外挂[滑稽]

评论列表

  • 加载数据中...

编写评论内容

klmk
发表于 6个月前

电脑模拟器外挂,如果exe,用的也是像这些盾或者游或者云之类验证,如果是就是模拟器的安卓,那么就是要封包捕获信息,分析破解,当然也可以选择直接在模拟器里面把安卓软件拖出来,放在电脑用逆向工具分析[阴险][阴险]

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
程序耗时 0.039秒 内存:1390KB