简要分析某PUBGlite辅助

optimuspenis · 发表于 2020-3-26 13:34

这是拿到的源程序

我们直接查壳

那就按他说的改名运行一下试试
普通用户运行之后直接删除了。
用管理员权限可以运行。
QQ截图20200326125208.png

出来两个窗口
再看一下文件夹

QQ截图20200326125314.png

是这个主程序释放出两个文件
把主程序拖进OD试试看
QQ截图20200326125314.png

只有这几条关键信息
批处理命令是用来删除文件的
看来这个所谓的主程序只是个“门槛”
关键点落在.tmp文件和.dll文件上
我们做好备份，再研究这俩文件因为，主程序的批处理命令会删除所有文件

QQ截图20200326131305.png

把.tmp改成.exe试一下，图标果然变了
QQ截图20200326131557.png

运行，弹出登录框

我们试着把他载入OD，直接载入，失败
QQ截图20200326131835.png

调任务管理器查看

PID=19604 转16进制=4C94
QQ截图20200326132225.png

附加还是失败

这种情况怎么搞呢？
主文件查毒，报毒
QQ截图20200326132806.png

释放出的文件查毒无毒

QQ截图20200326132713.png

应该是有壳报毒

样本链接
链接：https://pan.baidu.com/s/1SORazkLzbIrt16jPmvHhoQ
提取码：eg7y
复制这段内容后打开百度网盘手机App，操作更方便哦

接下来应该是什么思路？

材鸟 · 发表于 2020-3-26 14:03

注入程序为何不能是64位的呢？你用32位的OD调试64位程序？大胆，竟敢用前朝的剑来斩本朝的官

optimuspenis · 发表于 2020-3-26 18:50

淦 VMProtect 1.70.4
wdnmd 我壳动了我不玩了

8204118 · 发表于 2020-3-26 13:52

接来下输入卡号奔放

冬暖 · 发表于 2020-3-26 14:01

这个是什么怎么释放的文件？

lizf2019 · 发表于 2020-3-26 14:05

材鸟发表于 2020-3-26 14:03
注入程序为何不能是64位的呢？你用32位的OD调试64位程序？大胆，竟敢用前朝的剑来斩本朝的官{:3 ...

回复的言之有理

Dwsy · 发表于 2020-3-26 14:46

注入程序为何不能是64位的呢？

AzraelFMW · 发表于 2020-3-26 15:28

这是pubglite哪款辅助?

罗萨 · 发表于 2020-3-26 16:06

我也遇到类似的情况,不过主程序有vmp sdk验证,主程序破解完了,注入游戏进程的时候游戏会闪退,怀疑dll文件也有验证,现在dll没法调试不知道怎么下手了

optimuspenis · 发表于 2020-3-26 18:42

果然是64位的...好像有壳，附加闪退；打开运行提示"a debugger has been found in your system "

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 简要分析某PUBGlite辅助