极乐网络验证通用提取补丁-内存运行提取

重现江湖 · 发表于 2019-9-1 16:11:07

0x0 前言
近期极乐验证升级新版本,由之前的生成文件->运行变成了现在直接内存运行了。（先恭喜极乐完成一次重大升级）

0x1 提取原理
老版本：老版本的极乐是把原文件写出到文件夹里然后运行。提取原理也很简单Hook CreateProcessW 和 CreateProcessA （有的极乐调用的是A版本有的是W版本），获取要创建进程的文件路径，读入文件，再写出文件。
新版本：新版本的极乐不写出文件,所以没有办法复制原文件,他是在内存中直接运行,所以内存中存在他解密后的原文件,经过调试发现他会调用CreateProcessA创建一个外壳进程“cmd.exe”
于是下CreateProcessA调试，发现断下之后,EBP+8这个地址就是源程序的内容了，这个地址其实是在内存中运行EXE（）中的第一个参数。于是直接读内存把源程序全部读取出来,再写出文件,就提取出来了。

0x2 相关源码
老版本提取补丁：

极乐网络验证通用提取补丁-内存运行提取图片ID:5917

新版本提取补丁：

0x3 下载地址

链接：

游客，如果您要查看本帖隐藏内容请回复

2456627710 · 发表于 2019-9-14 20:16:15

近期极乐验证升级新版本,由之前的生成文件->运行变成了现在直接内存运行了。（先恭喜极乐完成一次重大升级）

1356411398 · 发表于 2019-9-13 00:28:46

近期极乐验证升级新版本,由之前的生成文件->运行变成了现在直接内存运行了。（先恭喜极乐完成一次重大升级）

1141418185 · 发表于 2020-1-7 18:00:32

看看极乐网络验证通用提取补丁-内存运行提取不说话

yy987987 · 发表于 2019-9-1 16:44:49

好东东,学习一下

jjpp001 · 发表于 2019-9-1 17:12:33

真是牛。只能看下。

jiuye123 · 发表于 2019-9-1 17:53:58

牛克拉斯 666666666666

很努力的王寒 · 发表于 2019-9-1 18:55:15

大哥就是大哥这牛皮吖

gantanhao66 · 发表于 2019-9-1 19:22:51

11111111111188

1900559749 · 发表于 2019-9-1 19:36:57

6666666大哥牛皮

qaz123qaz · 发表于 2019-9-1 21:20:11

DWRFWQR2DWadW

gubeimu · 发表于 2019-9-1 23:32:43

看看什么好东西1

演绎 · 发表于 2019-9-2 00:47:24

看看什么东西

[Windows] 极乐网络验证通用提取补丁-内存运行提取

评分

相关帖子