[原创]u9的dota2助手，当发现vs目录会自动搜索代码并上传，求助谁知道分析报告怎么写-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]u9的dota2助手，当发现vs目录会自动搜索代码并上传，求助谁知道分析报告怎么写

发表于: 2013-8-29 14:57 15837

[原创]u9的dota2助手，当发现vs目录会自动搜索代码并上传，求助谁知道分析报告怎么写

wuxiwudi

2013-8-29 14:57

15837

先上传文件包，等有时间补一下分析
今天逛dota论坛的时候看到有人报u9劫持dll，然后蛋疼的下了个试试，结果刚下来就更新了
静态逆向看了一下内存中的字段，了不得的东西发现了

当发现vs路径的时候会搜索源代码文件并上传

然后进了一下里面的连接，好的原码文件，不过都被u9加密了，有时间逆一下他的加密解密过程

刚才看了一下那个上传网站已经被关闭了，不过代码下来了不少有要研究他解密代码的我就上传上来
哦哦卡饭论坛喷起来了747K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7#2)9J5k6h3E0S2k6X3q4F1i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7I4y4U0t1H3y4U0V1#2i4K6u0V1x3g2)9J5k6o6q4Q4x3X3g2Z5N6r3#2D9

谁知道这种能当证据的分析报告怎么写，求模板。卧槽没见过这么不要脸的

还有后续，人至贱做程序员做到这份上真心的，哪怕你说句对不起什么的也可以啊
534K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2G2j5X3q4Q4x3X3g2#2N6i4f1&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1x3U0f1H3y4o6j5K6i4K6u0V1x3g2)9J5k6o6q4Q4x3X3g2Z5N6r3#2D9

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

memory.jpg （149.25kb，1次下载）
Dota2Superhelper2.9.3.7z （845.61kb，31次下载）
ip.jpg （47.79kb，1次下载）
prot.png （162.97kb，3次下载）
111.png （43.60kb，39次下载）

收藏・3

免费・5

支持

最新回复 (45) 1 2 ▶
JoenChen 雪币： 6876 活跃值： (1692) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 173 粉丝 56 关注私信	JoenChen 4 2 楼尼玛, 太坑爹了.. 现在的软件公司节操碎了一地.. 2013-8-29 15:09 0
viphack 雪币： 217 活跃值： (898) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1010 粉丝 44 关注私信	viphack 4 3 楼尼玛大家一起上玩他的服务器 2013-8-29 15:16 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 4 楼服务器已经关闭了，没得玩了 2013-8-29 15:20 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 5 楼一定是你这个帖子。。。。。人家关闭了。。。。 2013-8-29 15:23 0
狼烟断雪币： 303 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	狼烟断 6 楼卡饭上怒围观 2013-8-29 15:31 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 7 楼版主大人这种分析报告怎么写 2013-8-29 15:36 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 8 楼第八个字节开始，zlib解密 2013-8-29 15:49 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 9 楼这公司没节操啊 2013-8-29 15:52 0
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 310 粉丝 3 关注私信	NightGuard 1 10 楼手上没工具，大家有空的都去各大下载站下载u9超级助手分析下看吧。只要出现vs路径相关的字符串，绝对就是有问题了 2013-8-29 16:02 0
Yecate 雪币： 130 活跃值： (3483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 6 关注私信	Yecate 11 楼我一笑而过 2013-8-29 16:11 0
sunflover 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 89 粉丝 0 关注私信	sunflover 12 楼 359+1节操早已无 2013-8-29 16:17 0
zhaoleimxd 雪币： 44 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	zhaoleimxd 13 楼能不**吗，能拦截下网络做测试么。真是可笑，仅凭内存中的文本就能断定行为，这是什么可笑逻辑。 2013-8-29 16:18 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 14 楼就算加了vm又不是不能逆，自己跑一次就知道了，不过小心代码别被别人偷走哦 2013-8-29 16:23 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 15 楼 31fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8Q4x3X3g2I4M7g2)9J5k6h3y4G2L8g2)9J5c8Y4A6Z5j5h3!0D9k6h3W2E0P5r3c8Q4x3@1k6H3k6%4k6Q4y4h3k6J5k6h3k6Q4x3@1c8A6L8g2)9J5k6g2N6n7L8r3!0Y4i4K6u0W2k6%4g2W2M7%4c8Q4x3U0k6H3N6r3I4S2L8X3N6Q4x3@1b7J5x3o6f1J5 还狡辩？？？？？？？？？？？？？？？ 2013-8-29 16:28 0
zhaoleimxd 雪币： 44 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	zhaoleimxd 16 楼我想知道你觉得我在狡辩什么？或者说什么叫狡辩？像个SX一样连个网络拦截测试都没有就在这儿抓着内存里的东西JJWW，******** 2013-8-29 16:53 0
XYUN 雪币： 219 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 1 关注私信	XYUN 17 楼非U9的360也会传代码吗? 2013-8-29 16:55 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 18 楼楼主没有你们抓包，你确定我没抓？ 2013-8-29 16:56 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 19 楼一天连续放四个版本现在这个加了数字签名为什么之前一直一直都没有加数字签名呢？呵呵呵呵 2013-8-29 16:59 0
hgfangying 雪币： 166 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	hgfangying 20 楼你这个内存抓的，是哪个dll里面的？ 2013-8-29 17:12 0
skycny 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	skycny 21 楼流氓出身的360，永远改不了本性。这也是为什么公司内部禁止使用一切和360有关的软件的原因。如果没做坏事，何必及时更改文件，还掩人耳目加上签名呢？我绝对不信更新文件是为了解决 bug ，还是那么紧急的bug。要知道。助手版本是 2.9.x 了，就算有bug，也只是鸡毛蒜皮吧。 2013-8-29 17:12 0
viphack 雪币： 217 活跃值： (898) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1010 粉丝 44 关注私信	viphack 4 22 楼直接来一篇你静态的分析感染的全部过程~ 谁看到这个帖子不生气，太无节操了难道以后我们开发软件的都要什么都不用才好？ 2013-8-29 17:22 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 23 楼 steamlibex.dll里面，f9让他运行，所有字符串都释放到内存里了，然后下读断跟 2013-8-29 17:23 0
hgfangying 雪币： 166 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	hgfangying 24 楼有没有人回答下，这个是哪个dll里面抓出来的。。 2013-8-29 17:23 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 25 楼这么说吧，他网站上的东西我下载了也看了，和魔笛的程序也问了是他们的代码这个网站是一个写外挂的人用的，可能是存放一些源代码的，当然另一个目录下盗号.e 和远程可客户端.e是做什么的我不清楚，而且这个人现在就是u9的程序，至于抓包什么的，你想做你可以试试，反正我现在没这个环境了，我怕我辛辛苦苦写的代码被不知道什么人给拿走了就是这样 2013-8-29 17:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wuxiwudi

发帖

175

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) 1 2 ▶
JoenChen 雪币： 6876 活跃值： (1692) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 173 粉丝 56 关注私信	JoenChen 4 2 楼尼玛, 太坑爹了.. 现在的软件公司节操碎了一地.. 2013-8-29 15:09 0
viphack 雪币： 217 活跃值： (898) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1010 粉丝 44 关注私信	viphack 4 3 楼尼玛大家一起上玩他的服务器 2013-8-29 15:16 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 4 楼服务器已经关闭了，没得玩了 2013-8-29 15:20 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 5 楼一定是你这个帖子。。。。。人家关闭了。。。。 2013-8-29 15:23 0
狼烟断雪币： 303 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	狼烟断 6 楼卡饭上怒围观 2013-8-29 15:31 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 7 楼版主大人这种分析报告怎么写 2013-8-29 15:36 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 8 楼第八个字节开始，zlib解密 2013-8-29 15:49 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 9 楼这公司没节操啊 2013-8-29 15:52 0
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 310 粉丝 3 关注私信	NightGuard 1 10 楼手上没工具，大家有空的都去各大下载站下载u9超级助手分析下看吧。只要出现vs路径相关的字符串，绝对就是有问题了 2013-8-29 16:02 0
Yecate 雪币： 130 活跃值： (3483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 6 关注私信	Yecate 11 楼我一笑而过 2013-8-29 16:11 0
sunflover 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 89 粉丝 0 关注私信	sunflover 12 楼 359+1节操早已无 2013-8-29 16:17 0
zhaoleimxd 雪币： 44 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	zhaoleimxd 13 楼能不**吗，能拦截下网络做测试么。真是可笑，仅凭内存中的文本就能断定行为，这是什么可笑逻辑。 2013-8-29 16:18 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 14 楼就算加了vm又不是不能逆，自己跑一次就知道了，不过小心代码别被别人偷走哦 2013-8-29 16:23 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 15 楼 31fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8Q4x3X3g2I4M7g2)9J5k6h3y4G2L8g2)9J5c8Y4A6Z5j5h3!0D9k6h3W2E0P5r3c8Q4x3@1k6H3k6%4k6Q4y4h3k6J5k6h3k6Q4x3@1c8A6L8g2)9J5k6g2N6n7L8r3!0Y4i4K6u0W2k6%4g2W2M7%4c8Q4x3U0k6H3N6r3I4S2L8X3N6Q4x3@1b7J5x3o6f1J5 还狡辩？？？？？？？？？？？？？？？ 2013-8-29 16:28 0
zhaoleimxd 雪币： 44 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	zhaoleimxd 16 楼我想知道你觉得我在狡辩什么？或者说什么叫狡辩？像个SX一样连个网络拦截测试都没有就在这儿抓着内存里的东西JJWW，******** 2013-8-29 16:53 0
XYUN 雪币： 219 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 1 关注私信	XYUN 17 楼非U9的360也会传代码吗? 2013-8-29 16:55 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 18 楼楼主没有你们抓包，你确定我没抓？ 2013-8-29 16:56 0
king少雪币： 5 活跃值： (439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 19 楼一天连续放四个版本现在这个加了数字签名为什么之前一直一直都没有加数字签名呢？呵呵呵呵 2013-8-29 16:59 0
hgfangying 雪币： 166 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	hgfangying 20 楼你这个内存抓的，是哪个dll里面的？ 2013-8-29 17:12 0
skycny 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	skycny 21 楼流氓出身的360，永远改不了本性。这也是为什么公司内部禁止使用一切和360有关的软件的原因。如果没做坏事，何必及时更改文件，还掩人耳目加上签名呢？我绝对不信更新文件是为了解决 bug ，还是那么紧急的bug。要知道。助手版本是 2.9.x 了，就算有bug，也只是鸡毛蒜皮吧。 2013-8-29 17:12 0
viphack 雪币： 217 活跃值： (898) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1010 粉丝 44 关注私信	viphack 4 22 楼直接来一篇你静态的分析感染的全部过程~ 谁看到这个帖子不生气，太无节操了难道以后我们开发软件的都要什么都不用才好？ 2013-8-29 17:22 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 23 楼 steamlibex.dll里面，f9让他运行，所有字符串都释放到内存里了，然后下读断跟 2013-8-29 17:23 0
hgfangying 雪币： 166 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 87 粉丝 0 关注私信	hgfangying 24 楼有没有人回答下，这个是哪个dll里面抓出来的。。 2013-8-29 17:23 0
wuxiwudi 雪币： 926 活跃值： (2215) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 25 楼这么说吧，他网站上的东西我下载了也看了，和魔笛的程序也问了是他们的代码这个网站是一个写外挂的人用的，可能是存放一些源代码的，当然另一个目录下盗号.e 和远程可客户端.e是做什么的我不清楚，而且这个人现在就是u9的程序，至于抓包什么的，你想做你可以试试，反正我现在没这个环境了，我怕我辛辛苦苦写的代码被不知道什么人给拿走了就是这样 2013-8-29 17:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复