当前位置：首页 > 逆向 > 正文内容

【旧文】浅析_steam盗号软件

UzJu4年前 (2022-04-16)逆向5368

浅析:steam盗号软件

0x00 破解撸号器获取使用权限

5c9831c70b104c3b694cff6e1fe7437f.jpe

这是我在市面上下载的一款名为心瘾的撸号器为了保证此款撸号器的功能解析,我破解了他的登陆，那么具体的看下面（并不提供如何破解，自行研究，为了防止某些不法分子拿了方法去破解然后盗号）

712849e7f3c7d2668e643573f1909fe8.jpe

27cff6032bf03cbfdcf167b09f575a73.jpe

这里有的小白可能就会比较误解，直接打开程序 401000 最后发现自己要找的特征码和地址都找不到,这是为什么呢？

易语言支持三种编译方式1.编译,2.静态编译,3.独立编译那么这个作者就使用了第一种

b9b81d7ab363f78da4be9ab66da1c40a.jpe

点击编译后

6b73f09dfe283dc89fa91fb13472034f.jpe

点击保存，但是你会发现系统又提示一个说需要把依赖项写到同一目录，

fb6478b39894fb2502a096dd09c70482.jpe

d70d17eb42aec8bf8f1080b75837c060.jpe

我们这边什么都没写所以他只帮我们写出去了一个依赖文件

7435c1ddfb6c96df8963c5edbb270ecb.jpe

1b4b0340fcf7b9755a05e967bdc3bc2f.jpe

必须放在一起才能运行不然的话是无法运行的

就比如这个撸号器一样

e90e4beb8ba3929d719c84051ee7c108.jpe

单独放在桌面

81d6d4aa425c08d9ed9893341c3cc4a5.jpe

45ec7b00c2eb5d29ff5cfa8cb699c0af.jpe

会有一个Error 错误提示

(ps:易语言普通编译也就是直接编译，指的是不把支持库等依赖一起编译，就等于如果你要把软件发给别人使用的话，那别人也必须又支持库才行！

独立编译：运行时会把需要的支持库释放到一个系统临时文件夹的子目录内,然后运行.

静态编译：运行是不需要任何的支持库支持就可以运行,支持库已经和exe结合到一起了. )

3328b2672dfc4dd89ac175ea88459577.jpe

0x01

a52390422131b01bf8add05c4651d83b.jpe

好家伙 SE 但是我只能说绝对没有反调试别问我为啥因为他直接编译要调用支持库如果他加了反调试等VM 花指令程序会跑不起来:) 因为我试过：）具体的自行尝试即可

95e13de94e4c8896ca91d1590c886b82.jpe

335d647cd83739d52fe8eb6d30fb1b84.jpe

因为他是调用支持库验证这里会有很多小白不懂因为他们搜需要的特征码却发现找不到！

这里我用一个简单的方法找到他是调用哪个支持库验证的！

ba786690db1f3ebd758f823974457a88.jpe

先运行，运行之后点击登陆！

d6da9d8036abc0bc6377681b702d9067.jpe

f3182590c81a61601efdc19d869a73cf.jpe

点击暂停,然后alt+F9 执行到用户代码

接着点击那个错误的弹窗即可

a8b7bd8c6bb84ceeeb0788536447c3f2.jpe

70fc0c676d66f254c62499c8119139ed.jpe

81b01f2c5d4d181ec9514ebc48ec9889.jpe

可以看到是调用krnln模块验证的

那么接下来就是爆破

4e8f071e6e9e2e4e98070764480c6455.jpe

爆破完成（只说明如何找到调用模块其他的自行研究）

4747c78145049ea7340283942ae474d8.jpe

这个是生成shell 远控的

ab3d4848a05d3dbf4584514c116c29b8.jpe

2b3eeba3308d0060173fe913bec0c8bb.jpe

这个是steam密正

ec72d15806478f2f228527f05b2f5fa8.jpe

这个是QQ马

622996e37ff673a083665ab5d2fa02fa.jpe

我生成了三个马分别是steam密正 QQ马 shell后门远控

063f10761ed2708ec979fa66462765e7.jpe

这玩意还是用了腾讯的数字签名但是我觉得没什么卵用！

d00d421ff8cff90ab5ae28ce4f85ba5f.jpe

39dd599947189d11716121a22c52eada.jpe

0x02��

a67f57afbb7d7e6609f0a4b2b12629a6.jpe

提权到deBug权限

5e64eafae7e9dd09cc87869d441b4865.jpe

使用CreateToolhelp32Snapshot获取系统正在运行的进程，在堆栈下面找可以找到它获取的进程信息

bda0b77170c12ca53f13440bdec04119.jpe

获取操作系统信息

7a7bb23a60d6ad4d7892fc93fe17cac4.jpe

创建一个线程

9600fb2bbff79914185b55394a397faf.jpe

这个localhost.ptlogin2.qq.com 已经见怪不怪了大家都懂的了

130316a0cd61333cab83a21622e5e8c8.jpe

再一次调用CreateToolhelp32Snapshot

dd605e3ff86813cd71761a7066ad9ae0.jpe

这一次获取的是Steam进程

7af0974c25bcf8288e4654e0bc661ea2.jpe

后续的话基本跟之前一样调用CreateToolhelp32Snapshot获取进程信息然后CreateThread

创建一个线程来获取QQ快速登陆的cookie/key

b907c1b21afeae962658363bce9fb20a.jpe

最后发现他有访问steam的记住密码

b59f942b8455a3ea5d42f365f4c5cc24.jpe

11c98e5be14ca4df8d5470f934ad905b.jpe

6737161c66cee623300cc6863d0c750f.jpe

0x03��

1e2c7c154e35c1f4657b16c204fd44b4.jpe

这UI抄的还蛮像的那还得了：）但是确实是网上开源的防QQ UI的源码但是这玩意要是在真实情况下我觉得是个正常人都会去点的吧！

2c29a0a096b454eb16adef99bf01852e.jpe

输入超多个111111之后就会传回去

b9f17461c8d66bb5c7b572328de14481.jpe

06820bb3ad40bd15eabaeeb3e79835e8.jpe

725168bfcf40e52714ad5f1e0e16b50d.jpe

e8324ff39b945235ad7e9103eb3148d0.jpe

NB就完事了：）服务器是美国的！

6d2679cf7ba1d200fa4f1e66fe8d373e.jpe

突破就完事了呗具体有没有用还得看测试结果

31566e33d9cbe4a186ae680f5bd17694.jpe

社工操作基本上获取财付通啊等各种绑定的信息

c56a07a934a35d43a77f0a05f717ed83.jpe

0x04 破解之后测试一下功能

d82ccb257dac326066730f53a8c0ff01.jpe

这是我生成的一个QQ马点击登陆后

72fa1ada2cab756f8ef6964fd67aa382.jpe

这边马上提示有新的QQ 这些正好是我输入的东西

2097a8f009c6db302ec5243907fc25d9.jpe

Steam密正

cc79783b38984e9eda23cb5a45731e35.jpe

获取了我的密码和ssfn文件然后我下载下来正好就是我steam目录下的ssfn文件

a652aa9aa297bb7b1aa92b01f1309251.jpe

点击一键授权或一键登录后我也不需要在进行QQ邮箱的验证

aef0b36f160be30bf89f71d19da1d216.jpe

db050859dc4988198d7f081b64817e9c.jpe

shell远控后门(因为他程序每次只能打开一个功能的木马程序所以我只能分开测试）

他的shell 我弄了很久也没懂这玩意怎么用是反弹还是怎么还是需要登陆QQ？这些我都测试过了他的shell就是没反应：）

7d5ff463cc2d6b3d0857e87051524754.jpe

所以我无法验证验证他是如何突破的QQ独立密码

0x04免杀测试

299e26274917c124f2a6987e815639d5.jpe

还是老规矩

9c49ca90df375110fbe060e063e24446.jpe

解压一台全新的虚拟机下载目前普通用户最长使用的三款杀毒软件 360 腾讯电脑管家火绒

8335babbefdd8c8b1f5add8acbabda83.jpe

作者说过一切杀毒软件自动拦截! 你这是不把腾讯管家等杀软放眼里呀：）

腾讯电脑管家免杀测试

指定位置扫描

be1d289a71d89c1aaf5bd2c979fc3a98.jpe

只有一个QQ盗号木马报毒 shell和steam密正均未报毒

病毒运行是否拦截

因为QQ木马扫描已经报毒杀掉了那么运行就更不用说了所以不测试QQmuma.exe

shell测试没有被拦截

797b2209f76014f281936f4f73bfb093.jpe

steamMZ测试没有被拦截

31acf28fcbefd44a1f77622dc71e19d3.jpe

2.360安全卫士测试情况

指定位置杀毒

4cec5c3245086276b3e832da2c2afbd2.jpe

运行情况

Shell.exe拦截成功

45aad8e912d6ea0008adb65e806524d8.jpe

Steammz.exe拦截成功

493da5b5c97dd21c5aa0fb0cdf5ef433.jpe

3.火绒安全测试情况

指定位置扫描

dea08b98d5ddb74baae4d25514bfe911.jpe

运行拦截测试情况

QQMuma.exe 等待30秒火绒无拦截

8e3687bc575bb23cedfd372528e4fc24.jpe

Shell.exe

541814d39fb9ad58bbae9d15f6a04bad.jpe

拦截成功

SteamMZ.EXE

a6ffcdecf8f951bbb56d7af0dfb0a10c.jpe

拦截成功

f81ea50208f89024574dde5f58f76457.jpe

0x05

撸号器作者服务器：154.95.20.80

登陆地址：http://154.95.20.80/nc/q/clogin.php

下面是盗号器作者给出的如何钓鱼上钩盗号

5e47b049785c92862dd078cb8493abe4.jpe

个人建议：看图

0fe353d998dd1d2ecf7a351debd2e532.jpe

扫描二维码推送至手机访问。

版权声明：本文由UzJu的安全屋发布，如需转载请注明出处。

SQL ERROR: ERROR 1105 (HY000): XPATH syntax error: '~root@localhost'

本文链接：https://uzzju.com/post/27.html

分享给朋友：

返回列表

上一篇：【旧文】分析一个强壳锁机软件过程

下一篇：【旧文】浅析_网友说的过火绒的远控

相关文章

【旧文】VMProtect完美脱壳过程

【旧文】VMProtect完美脱壳过程

VMProtect完美脱壳过程1.查看程序这是我自己写的一个VB的小程序，长得有点丑，别介意。然后自己加了一个壳，是VMProtect v.1.6x - 2.03的壳。接下来我们国际惯例，用PEID，EXEinfo PE查一下壳...

【旧文】分析一个强壳锁机软件过程

分析一个强壳锁机软件过程对一个锁机的分析以及破解教程文件名称 : 蜡笔小新辅助.exe 文件大小 : 3571712 byte : 文件类型 : application/x-dosexec MD5 : 849f088...

发表评论