故事

自从有了游戏开始,我就开始尝试不同的花式玩法,其中少不了寻找BUG,内存修改,网络抓包,逆向分析等等,但作为攻防战中的游戏公司,自然不能坐视不理,封禁IP,封禁MAC,封禁机器码等手段就诞生了,其中还衍生出反作弊引擎等各种捍卫游戏的事物

也是受人所托,同时也是不希望看自己的用户没完没了的交IQ税,对其购买的一款修改设备ID + 清理痕迹 工具进行了分析,来讲讲这个程序

攻防战

文件执行

首先我们第一时间就拿到了这个样本,这个样本不出所料,右键→文件属性可以看到文件描述如下关键词

Synaptics Pointing Device Driver

那么我们翻译一下,这个叫做触摸设备驱动程序,然后我很不小心的,执行了这个文件,看到这个程序释放了另一个文件,这个文件具备以下特性

  • 具备与本体一样的图标
  • 比本体文件减小约800KB
  • 具备文件的真实信息,文件描述不再是Synaptics Pointing Device Driver
  • 文件具备强制隐藏属性系统文件属性,常规情况下不可见

我们尝试执行这个隐藏文件,发现该文件具备和刚才的文件相同功能

文件跟踪

由此,我对文件进行跟踪,发现执行记录如下

已创建进程    C:\Windows\SysWOW64\._cache_**.exe
创建文件夹    C:\ProgramData\Synaptics
创建文件     C:\ProgramData\Synaptics\Synaptics.exe
创建文件     C:\ProgramData\Synaptics\RCX9791.tmp
重命名文件    C:\ProgramData\Synaptics\Synaptics.exe
已创建进程    C:\ProgramData\Synaptics\Synaptics.exe
已结束进程    C:\Users\Fantasy\Desktop\**.exe
创建文件夹    C:\ProgramData\Synaptics\WS

可以看到,该名为**.exe的程序执行后,在C:\ProgramData创建了一个\Synaptics目录,ProgramData平时并不可见,可见是具备隐匿行为的,并且释放了一个名为Synaptics.exe的应用程序,并且执行,同时,这时候聪明的你发现,刚刚能打开的文件为**.exe,但事实上,创建的进程为.cache**.exe(真实文件),同时创建了一个WS目录,用处不明

接下来,我们随机点击桌面一个exe应用程序,查看属性,会发现,属性描述均替换为Synaptics Pointing Device Driver,并且执行的时候,均可找到同名的.cache**.exe文件

趁热打铁

沙箱分析

接着我们对这个Synaptics Pointing Device Driver进行分析,具备Trojan.Backdoor.Heur.gen的特征(简单说就是灰鸽子)同时具备Trojan[Downloader]/Script.AGeneric(下载者)以及Trojan-PWS.Win32.QQPass(盗号木马)的特征,

自我循环 设置注册表实现自启动

开机自启,并且启动后会持续监听,感染性极强,下载者可以在几分钟内下载大量文件,导致系统降速

反逆向 检测自身是否正在被调试

防止编译调试,防止破解

拷贝自身 将自身拷贝到其他目录下

本次站长分析的文件,在2小时左右,释放了约300GB文件在系统盘,会导致系统宕机

打完收工

提取修改

那么将这个文件提取修改的过程中,也发现了对方的服务器,发现原始文件中就存在此恶意程序,进行清理后,已经做好编译,因工具泛滥会对游戏产生影响,本站付费提供,本工具不再提供有效期限制,无任何恶意行为,并且不绑定设备

本程序适用于 EPIC相关游戏程序,对系统具备修改性,完整有效

本区域内容支付后可见
标题:[E-A]机器码那点事
价格:34.99 枚LegnaCoin