这几天飞飞G闹的沸沸扬扬的,很多人说有木马,会有键盘记录什么的
飞飞主要能称的上外挂的东西就是一个
drv.dll
InjectLoader.dll只是一个注射程序,把drv.dll注射进DNF.exe的
刚查了下版本
确实有人在更新
大家可以注意,从最早的inter什么的开始一直到现在,所有修改过的程序只有drv.dll
说明了什么?而木马是一开始就有的。。
InjectLoader.dll是用VC++ 8.0写的,无壳
drv.dll也是用vc++ 8.0写的,也无壳,但是加了好多混乱代码,换句话说就是里面的代码反汇编看上去啥都不是。。。
用虚拟机技术做的
实现很简单,加个文件头就可以了,破解起来查了下资料,估计是个很困难的事情
问题有2个
1 木马到底在哪个文件里,就这2个文件有可能有问题
而且2个文件注射方式不一样,偶强烈怀疑木马在InjectLoader.dll里
因为根据加载方式,InjectLoader.dll是从系统开机到关机一直在运行的
而drv.dll是检测到DNF.exe开启才注射进去的
既然木马是虾米qq木马,那他基本上应该是InjectLoader.dll里了。。
还有,有人发的工作室的截图里有写内部挂.exe,那东西原理应该和InjectLoader.dll的部分功能相同
注射drv.exe进DNF的,不过那个东西应该是没马的,毕竟工作室利益在那,他们买个挂在有马,谁买
所以强烈怀疑木马在InjectLoader.dll里
2 能不能做到干掉木马而能用挂,或者说自己写个内部版.exe这样的东西注射进去?
对逆向有研究的人可以出来了,现在不是潜水的时候,而且感觉只要注射进去就好
不需要调用任何函数,这个用E写出来应该可以吧?
另外附加3个注射方法:
1 HOOK+DLL
2 createremotethread+dll
3 在目标程序内分配内存直接写进去...
其他的文件是脚本 大家打开auto1.tsc和auto2.tsc就看到了 其中auto2.tsc里最后有个脚本翻译成中文是回城后 发送10W钱给***
这可能是作者刚开始发布免费版本给自己留的余地,看到用的很多后来就做成收费的了 毕竟倒卖游戏B麻烦,不如RMB来的实在! 22号中午开始收费,晚上19点左右被TX和谐了,飞飞G制作者搞了个免费论坛也关闭了,半天的时间我看到各外挂发布网给作者卖的飞飞收费版的G数目总计不下4000个注册码,一个25元 这就是10W 干什么半天能纯收入10W元?我感觉飞飞作者离坐牢不远了!提醒大家别上当,随着TX的维护,挂的利用和使用渠道会越来越少,从前期最流行的WPE强化到现在的飞飞 都不难看出,也希望猴岛高手们多多研究更多用挂的渠道,让卖G的和TX都去吃屎去吧!!!
大半夜难得清闲 写出来 希望猴岛版主把本帖置顶高亮让更多的人看到!防止受骗![ 此贴被b181916386在2008-10-24 04:01重新编辑 ]
