一Loader.sys分析虚拟机系统环境:Windows 10 x64 1909 18363.418调试环境:KDNET network kernel debugging(https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/setting-up-a-network-debugging-connection)老规矩查壳:很好,什么也看不出来;直接拖IDA看看。导入表有个ExAllocatePoolWithTag,尝试Hook了不过并没有什么卵用,跑起来只会拷贝一个“2024.wo.shi.chu.ti.ren”的字符串上去......直接看Disassembly。一眼VMP,等分析完成后Shift+F12看字符串。“bad array new length”和“vector too long”明显来自stl库,应该是被std::string和std::vector的某个类成员函数所引用的。struct std::string{ char *data; __int64 unknown; __int64 length; __int64 capacity;};跑一下Lumina私服能出一些符号,其中std::string成员函数:挨个xref找访问,std::string::~string和std::string::find_last_of能追到同一个地方。word_140675E20数组逐字与0xACE进行了
………………………………