0x01 事情經(jīng)過

2023年8月3日晚上9點，發(fā)現(xiàn)一個莫XF游戲外掛作者加我要不要玩外掛，于是我這對著QQ號發(fā)現(xiàn)這是一個小號。

在他QQ空間發(fā)現(xiàn)了一個QQ內(nèi)部群，群內(nèi)宣稱"單板人物透視，采用RC4算法超級混淆加密，安全穩(wěn)定無檢測大號穩(wěn)定奔放"，于是命運的齒輪開始轉(zhuǎn)動，針對此次外掛的溯源分析就此開始。

0x02 跟蹤溯源

根據(jù)QQ群機器人拉入會有提示語發(fā)現(xiàn)了某XF外掛作者官網(wǎng)

www.cfxxxx.com

由于群內(nèi)無軟件下載地址，想下載樣本需要在官網(wǎng)花費128大洋才能拿到，這128元足足夠我吃好幾輩子手抓餅烤冷面。靈機一動，直接上微步X情報社區(qū)查詢域名，發(fā)現(xiàn)4個文件樣本，根據(jù)以前的文件樣本進行進行獲取更多的信息。

歷史文件樣本果然發(fā)現(xiàn)了一些蛛絲馬跡，順頭摸瓜在某網(wǎng)盤下載了最新的輔助樣本（摸了摸錢包，虛驚一場）。

https://www.cfxxxxx.com:443/files/[download]{.mark}.txt，

0x03 逆向分析

下載后第一時間放到了虛擬機里面并且運行了一波，發(fā)現(xiàn)程序會要求輸入卡密，而且還存在一些OD的反調(diào)試，嘗試多次都失敗了?？嗝耐迌?，難道真要貢獻出這128和作者??個朋友嗎？

打個冷戰(zhàn)，打開了任務管理器，驚奇的發(fā)現(xiàn)程序CPU占用高達24%，這種肯定是調(diào)用的線程啊，使用鉤子工具進行強制結(jié)束反調(diào)試鉤子，實現(xiàn)OD附加，我可真是一個大聰明。

軟件無卡密登陸圖

就在一切都在順利進行的時候，發(fā)現(xiàn)程序突然更新了，真是個勤快的作者，只能重新下載最新版本進行調(diào)試，發(fā)現(xiàn)只是換湯不換藥而已，繼續(xù)搞。

于是使用"OD"直接附加調(diào)試，并發(fā)現(xiàn)了一堆作者相關信息，列如QQ以及QQ郵箱"35**28@qq.com"，以及更多的軟件特征，列如"驅(qū)動已加載\r\n到期時間：永久"，根據(jù)這個特征進行深入分析，發(fā)現(xiàn)只是一個"jnz"跳轉(zhuǎn)驗證，無二次驗證，那么就很好辦了。

雖然他有殼子，但可以使用CE內(nèi)存修改工具進行實現(xiàn)打補丁的效果，隨后使用Moo0文件監(jiān)視器工具發(fā)現(xiàn)，在C:\\Windows\\System32\\目錄下創(chuàng)建了一個DLL名為d3dref9.dll，很明確他使用了游戲DLL劫持的方式實現(xiàn)注入效果，最終破解成功，我開心的像個孩子去看了看效果圖，非常牛X。

0x04 溯源作者畫像

根據(jù)以上獲取的QQ賬號信息進行社工庫反查

外掛作者姓名:劉*成
外掛父親:劉*凱
地址:吉林省長春市**縣**鎮(zhèn)
QQ:35*****28
手機:13*****391
運營商:中國聯(lián)通
手機歸屬地:吉林 長春
歸屬地區(qū)號:0431
歸屬地郵編:130000