打开客户端源码
从 启动窗口 点击 登录 按钮, 查看登录的源码
我们找一找有没有什么恶意的暗桩
这个一看就很恶意
检测指定目录下的 host 文件, host 文件用于本地 DNS, 它的优先级比网络上的 DNS 服务器要高, 也就是说访问网页先用这个本地 DNS, 再用网络上的 DNS
取特定目录就是检测 host它在这里就是检测一下你是否把服务器地址指向了本机, 如果是的话, 那就开始执行下面恶心的暗桩, 如果你下了个断点把关机绕过去了, 哦豁, 程序就要格盘了
看源码, 程序还对字符串进行了加密, 也就是说你是搜不到 C D E F G 这种盘符字符串的
我们静态编译一份程序出来, 然后 OD 载入, 这时候运行是没用的, 只会提示网络连接错误
CC 网络验证你 OD 载入就不要运行, 它有时候检测到你的 OD 就直接格盘
直接搜字符串, 找到这 CDEFG 在一坨的
这里有两个代码, 写的是 vmp 开始和结束, 就是说这中间一段, 如果要拿来加 vmp 的话, 会自动被 vmp 加壳程序识别
我们接着说格盘, 如果字符串都被加密了, 我们可以通过数据窗口找
特征码的寻找方法, 就是在二进制复制没有被 VM 的代码, 然后模糊搜索
我们可以通过特征码 85 DB 74 09 53 E8 ?? ?? ?? ?? 04 8B E5 5D C3 来快速定位到格盘代码
右键查找, 二进制字符串搜特征码
如果说你没有找到特征码, 也没找到格盘的字符的话, 你可以在数据窗口找, 因为它格盘的原理是使用了 DOS 的 format 命令
我们直接选中这一段, 然后用 00 来填充, 这时候它不能格盘了
我们再就是要找到它的关机暗桩
[恶意代码拦截插件]
![buuctf_[GXYCTF2019]gakki](https://www.onetale.xyz/wp-content/themes/minimer/img/thumb-medium.png)