吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2531|回复: 14
收起左侧

[原创] 利用ProcessHacker轻松获取某软件http请求,从而提取Dll数据包

  [复制链接]
M3351AN 发表于 2024-8-12 17:34
本帖最后由 M3351AN 于 2024-8-16 22:43 编辑

新人第一次发帖,望各位大佬不吝赐教
目标软件是一款俄罗斯游戏作弊软件
他的启动界面全是俄文,如果有小伙伴不注意,就会捆绑下载Yandex浏览器
虽然没有病毒的顾虑,但是这种流氓捆绑行为也确实让人感到困扰

界面完全是俄文

界面完全是俄文

软件加载的原理,是从服务器上获取Dll文件的数据,再将其注入到游戏进程中
因为我的汇编知识基本为0,所以无论是通过逆向加载器本身还是从游戏进程中转储dll文件,对我来说难度都过大了

无需手动更新exe

无需手动更新exe

该软件标榜无需更新加载器,能够自行获取最新的Dll,说明Dll数据是从服务器获取
想到此类软件通常通过捆绑下载的方式从软件厂商处获得盈利,利润微薄通常对服务器开销较为敏感,因此极有可能使用http请求的方式获取Dll数据

软件没有加壳

软件没有加壳

将加载器拖入exeinfope,发现没有加壳,那么起步就很轻松了

尝试在Hxd中搜索http

尝试在Hxd中搜索http

尝试将加载器拖入HxD中,搜索“http”字样,出现五十多条结果,但是显然都不是我们想要的
于是运行加载器,并使用ProcessHacker查找其内存

使用ProcessHacker

使用ProcessHacker

查找其内存中http字样

查找其内存中http字样

查找“http”字样,发现了捆绑下载yandex浏览器的http请求地址,但没有发现获取Dll数据的请求地址
于是点击加载,等待其界面出现"idet zagruzka dll"字样后使用ProcessHacker将加载器进程暂停,再次查找内存

开始获取dll

开始获取dll

发现http请求地址

发现http请求地址

不出意外,顺利地获取到了获取Dll数据的http请求地址
将地址复制进浏览器,发现如下数据
df5995f5e951ed3e3929774422f9a4ab.png
数据中不存在乱码,推测是通过Base64加密,将开头一小段复制进在线工具中进行解密
47be8e641f469d2996dba397381db720.png
成功解密出MZ头,说明该数据确实是可执行的PE文件经过Base64加密后的结果
于是将数据保存至本地,编写一段Base64解密程序,将数据包解密
6e60e1a44b856dc3b0f3badf30ec10f8.png 88fa964c328fa08133c9a760f448287f.png 7d13906a4ca5525d772753777d5dc947.png
在HxD中查看,发现解密后的数据带有完整的PE头,拖入ExInjector中进行注入,也显示注入成功
最后在Dll文件中略加修改
f01cfdde7b094ea43a4c22a56d1786d7.png
大功告成,可以和Yandex浏览器说拜拜了

免费评分

参与人数 8吾爱币 +7 热心值 +6 收起 理由
Atnil + 1 谢谢@Thanks!
yulinxu + 1 + 1 谢谢@Thanks!
helian147 + 1 + 1 热心回复!
Issacclark1 + 1 谢谢@Thanks!
5omggx + 1 用心讨论,共获提升!
AuroraVerses + 1 + 1 谢谢@Thanks!
dahai1983 + 1 + 1 用心讨论,共获提升!
Sand0630 + 1 + 1 感谢大佬分享,让我又知道了两个软件,Extreme Injector v3.7.2 by master1.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

LXGZJ237 发表于 2024-8-13 21:24
ProcessHacker停更了,官方继任者开发了新版本,名为systeminformer,官网https://systeminformer.sourceforge.io/

免费评分

参与人数 1吾爱币 +1 收起 理由
yhzh + 1 谢谢@Thanks!

查看全部评分

xixicoco 发表于 2024-8-13 11:45
小小小酥 发表于 2024-8-13 11:55
头像被屏蔽
Sand0630 发表于 2024-8-13 16:21
提示: 作者被禁止或删除 内容自动屏蔽
xiangzz 发表于 2024-8-13 17:16
Extreme Injector v3.7.2 by master131能分享下吗
AuroraVerses 发表于 2024-8-13 19:05
感谢大佬分享
Sy666ovo 发表于 2024-8-13 21:34
大佬牛逼 又学到新东西了
elinkmi 发表于 2024-8-13 23:21

大佬牛逼 又学到新东西了
wfm324 发表于 2024-8-14 05:56
感谢大佬分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-13 21:38

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表