馬後炮式詳談英雄聯盟、流亡黯道網軍間諜病毒在幹嘛(下集)

此篇接續上集的馬後炮式詳談英雄聯盟、流亡黯道網軍間諜病毒在幹嘛(上集)

 

早上睡醒後,經過Kenny大神的提醒<(_ _)>
先是開有毒版本的安裝包

然後可以側錄一下安裝包做的事情

接著病毒安裝包就是做一連串的檔案存取…直到這裡開始比較引起我關注

病毒安裝包生產了三個.tmp文件到Windows的tmp資料夾內分別為:tmpD07C.tmp、tmpD07D.tmp、tmpD07E.tmp

接著喚起Rundll32.exe去壓入參數,執行三個文件。command line如下:
C:\Windows\system32\Rundll32.exe “\Temp\tmpD07E.tmp", Check \病毒安裝包主程式.exe|
\Temp\tmpD07C.tmp fast|
\Temp\tmpD07D.tmp|exe|\Temp\tmpD07E.tmp
(排版需要,經過刪減)
簡單來說就是使用rundll32.exe去Run了那三份tmp內的文件(其中一個帶參數fast)

接著rundll32.exe被要求執行tmp文件後又做一連串的文件存取

接著又寫入回去tmpD07E.tmp文件(做修復?還幹嘛?不太清楚)

接著這次是寫入tmpD07C.tmp文件,並且把tmpD07C.tmp創建為進程,啟動!
所以tmpD07C.tmp被以進程的方式建立起來了

後來rundll32.exe開始回去替病毒安裝包主程式做修復動作
(修復完成後,病毒安裝包就不會再生產病毒了,會恢復成正常文件)

這時候tmpD07C.tmp開始創建datD0FA.tmp、datD0EA.tmp、datD0E9.tmp文件,並且在最底下

這時候tmpD07C.tmp又用了rundll32.exe創建進程:
C:\Windows\system32\rundll32.exe “datD0EA.tmp", sqlite3_backup_deinit \Temp\tmpD07C.tmp
大致上是把datD0EA.tmp用rundll32.exe創起進程並給予參數sqlite3_backup_deinit執行
sqlite3_backup_deinit這個Func,然後又創建進程了一次tmpD07C.tmp
(這就是每次開機後監控的途徑了)

接著寫入一些參數資料存放到fast.update

另外得知病毒的NtUserEx.dll只有在特定函數下patch

這隻dll會在的時候執行指令:rundll32 NtUserEx.dll,sqlite3_aggregate_num

也就是說,這隻dll自我啟動的方式是透過rundll32去載入NtUserEx.dll
再去呼叫Export的Func——sqlite3_aggregate_num
(也就是整支病毒開機被啟動的點就是sqlite3_aggregate_num身上。可以知道,DLL Base + Offset 0x5A050就是啟動點)

一開始可以看到這函數一被呼叫做的事情會先把自己註冊為系統服務以便長期監控系統
參考了一下這篇C++编写Windows服务程序還原了一下這段是:
RegisterServiceCtrlHandlerA(“",回調函數_10059FD0)

最後結語:
…以前可能會嫌防毒各種誤報各種弱或者UI介面難用
但是分析一隻病毒真的好累啊Otz.
先寫到這啦~之後有時間再補上逆向NtUserEx.dll內部在幹嘛

【已走進歷史】使用 Pidgin 登入台服 LoL 聊天伺服器 實測無需密碼即可登入 輕鬆修改他人的狀態牌位 強制加好友

今天,我要教大家怎樣使用 Pidgin 這個聊天客戶端登入台服的 LoL 聊天伺服器,而這個登入方法竟然毫無安全性可言。今天,我除了教大家怎樣使用 Pidgin 這個聊天客戶端登入台服的 LoL 聊天伺服器之外,還會叫你怎樣黑進去別人的 LoL 聊天帳號,並修改他的狀態,十分OP。


本文為 NitroXenon 原創

部落格網址 : http://nitroxenon.com

轉載前請先交代一聲,並附上本文網址,謝謝~

 

統神使用後效果圖 :

ggtone-wood

 

首先,我們需要一個能用 XMPP 協定的聊天客戶端,而我就在這裡使用 Pidgin ,Pidgin 是一個支援XMPP個其他不同協定的聊天客戶端。

工具名稱 : Pidgin

工具分類 : 聊天客戶端

免安裝版載點 : 按我

使用 Pidgin 登入伺服器教學 :

第一步

首先開啟 Pidgin

然後會出現這個視窗 請按 Add 按鈕

p1

第二步

然後開啟競時通 開啟個人資料視窗

UID 就是我們登入需要的用戶名稱

p3

第三步

然後回到 Pidgin 視窗

Basic 分頁 :

  • Username : 剛剛在競時通獲取到的 UID
  • Domain : 這裡輸入 “pvp.net"
  • Resources : 留空
  • Password : 這裡就是關鍵 請在這裡輸入 “AIR_pass你的UID後5個數字" 例如 : UID 是 123458822,那就在 Password 輸入 : AIR_pass58822
  • Remember Password : 勾選記住密碼

Advanced 分頁 :

  • Connection Security : 請選擇 “Use old-style SSL"
  • Connect Port : 把 5222 改成 5223
  • Connect Server : 輸入 “chattw.lol.garenanow.com"

上面沒有提及的欄位使用預設值即可

完成後 請按 “Add"

pl1

pl2

第四步

然後會回到 Pidgin 聊天主介面,請稍等一會,正在連接中

連接和登入成功後 聊天介面即會出現好友名單

即可進行聊天~

l1

修改個人狀態教學 :

第一步

先在聊天介面下面的工具列

按最右邊的三角形按鈕

l2

第二步

然後按 “New Status"

l3

 

第三步

然後會跳出一個新視窗

  • Title : 識別名稱,隨便打,你識別到是那一個狀態就好
  • Status : 請選擇 “Available"
  • Message : 這裡要輸入的東西十分複雜,請輸入一下的代碼

講解 :

  • profileIcon : 這個就是召喚師頭像的ID,可以自行修改,ID請參考 : 按我~
  • level : 召喚師等級,可任意修改,實測99等級不是問題xDDD
  • wins : 勝場數,可自行修改,改了沒什麼用…
  • leaves : 中離場數,改了沒什麼用…
  • odinWins : 不明
  • odinLeaves : 不明
  • queueType : 不明
  • rankedLosses : 積分輸場數
  • rankedRation : 不明
  • tier : 牌位,可使用 : BRONZE (銅牌) , SILVER (銀牌) , GOLD (金牌) , PLATINUM (白金) , DIAMOND (鑽石) 和 CHALLENGER (精英)
  • rankedSoloRestricted : 不明
  • rankedLeagueName : 聯盟系統的組別名稱,可使用中文
  • rankedLeagueDivision : 聯盟系統分區,可使用任何羅馬數字,銅牌分區10不是不可能
  • rankedLeagueTier : 同 tier,牌位,可使用 : BRONZE (銅牌) , SILVER (銀牌) , GOLD (金牌) , PLATINUM (白金) , DIAMOND (鑽石) 和 CHALLENGER (精英)
  • rankedLeagueQueue : 這個可以加,可以不加,這個就是目前牌位屬於的對戰類型,RANKED_SOLO_5v5 就代表 5v5 積分對戰
  • rankedWins : 積分對戰勝場數目,可改成任意數目
  • statusMsg ; 這個是目前狀態文字,可改成任意句子
  • skinName : 目前正在使用的英雄/造型名稱
  • gameQueueType : 這個就是目前正在進行的對戰類型,RANKED_SOLO_5v5 就代表目前在進行 5v5 積分對戰
  • gameStatus : 目前遊戲狀態,可更改為 : outOfGame  (線上) , inQueue (列隊等待中) , spectating (觀戰中) , championSelect (選擇英雄中) , inGame (進行遊戲中) , hostingPracticeGame (建立自訂對戰中)
  • timeStamp : 遊戲開啟時間,格式是 JAVA Timestamp ,可使用 這個工具 轉換時間格式後修改

l5

第四步

然後按 “Save & Use" ,這樣就能看到已經改掉了自訂的狀態

fake

實測免密碼進入別人的聊天帳號並修改狀態 :

以下內容純屬教學和研究之用

第一步

首先就是要找目標啦

原本想拿統神的來做測試 不過不知道他的競時通 ID

隨意我就隨便的在推薦好友隨機選了

現在可以看到 他的 ID 是 : 121860192

a1

第二步

然後我們來開啟 Pidgin

然後設置好帳號

a2

第三步

登入成功,可以看到好友列表的好友

a3

第四步

由於需要在LOL加好友才能看到效果

所以我們先來強制加好友

在這裡要先使用小號來獲取本尊的 LOL 聊天帳號 (不是UID)

首先在 Pidgin 建立一個小號的帳號 並登入

然後開啟LOL 然後登入本尊

然後添加小號好友

這樣在 Pidgin 便會出現本尊的交友邀請

這樣就能知道本尊的聊天帳號

a5

 

第五步

然後在 Pidgin 登出小號帳號

剩下我們的目標帳號

a6

 

第六步

按 Buddies -> Add Buddy 添加好友

在 Buddy’s Name 輸入剛剛獲取到的本尊帳號

然後按 Add

a7

a8

第七步

回到本尊的 LoL

可以看到目標帳號向我們發送好友邀請

按接受~

a9

第八步

然後回到 Pidgin

接下來就是要修改狀態

我們選擇 New Status

然後在 Message 欄位貼上我們要修改的狀態

文章上部已進行了講解

這裡我就隨便修改幾個項目來突出效果

我就使用以下的代碼 (有部分亂碼,不過在LOL看會變回中文)

 第九步

然後就修改完成咯 我們可以回到 LOL 看效果咯~

不過需要注意的是 : 如果在 tier 使用其他名字,會造成怪怪的樣子

而且勝場不能改成負數,但是等級可以是負數

效果圖 :

a10

 

其他有趣功能 :

聊天 :

a11

獲取好友的狀態 :

o1

 

獲取別人的好友 :

o2

強制加好友 :

a8

 

刪除別人的好友 :

o3

 

總結 :

這篇文章發表後,應該還蠻多人看到吧,巴哈也應該會一直談論吧,為什麼 Garena 可以把召喚師的聊天密碼設置成 0 密碼可言呢?

還有更多有趣功能讓你發掘~

可能Garena又再送東西咯~

我們拭目以待~

 

R.I.P 以上內容純屬教學和研究之用 請勿妨礙網絡言論自由 發個教學也被炮ggtone-wood