极乐网络验证通用提取补丁-内存运行提取
2019/09/01 16:11:07
0x0 前言
近期极乐验证升级新版本,由之前的 生成文件->运行 变成了现在直接内存运行了。(先恭喜极乐完成一次重大升级)
0x1 提取原理
老版本:老版本的极乐是把原文件写出到文件夹里 然后运行。提取原理也很简单Hook CreateProcessW 和 CreateProcessA (有的极乐调用的是A版本有的是W版本),获取要创建进程的文件路径,读入文件,再写出文件。
新版本:新版本的极乐不写出文件,所以没有办法复制原文件,他是在内存中直接运行,所以内存中存在他解密后的原文件,经过调试发现他会调用CreateProcessA创建一个外壳进程“cmd.exe”
于是下CreateProcessA调试,发现断下之后,EBP+8这个地址就是源程序的内容了,这个地址其实是 在内存中运行EXE()中的第一个参数。于是直接读内存把源程序全部读取出来,再写出文件,就提取出来了。
0x2 相关源码
老版本提取补丁:
新版本提取补丁:
0x3 下载地址
链接: [此处包含隐藏内容,如果需要查看请回复]
近期极乐验证升级新版本,由之前的 生成文件->运行 变成了现在直接内存运行了。(先恭喜极乐完成一次重大升级)
0x1 提取原理
老版本:老版本的极乐是把原文件写出到文件夹里 然后运行。提取原理也很简单Hook CreateProcessW 和 CreateProcessA (有的极乐调用的是A版本有的是W版本),获取要创建进程的文件路径,读入文件,再写出文件。
新版本:新版本的极乐不写出文件,所以没有办法复制原文件,他是在内存中直接运行,所以内存中存在他解密后的原文件,经过调试发现他会调用CreateProcessA创建一个外壳进程“cmd.exe”
于是下CreateProcessA调试,发现断下之后,EBP+8这个地址就是源程序的内容了,这个地址其实是 在内存中运行EXE()中的第一个参数。于是直接读内存把源程序全部读取出来,再写出文件,就提取出来了。
0x2 相关源码
老版本提取补丁:
新版本提取补丁:
0x3 下载地址
链接: [此处包含隐藏内容,如果需要查看请回复]