逆向分析某VT加持的三角洲行动外挂

最近无意间打开之前的虚拟机,发现有个外挂。才想起来之前因为太忙给忘记了。么就直接用ROG打败ROG。call ROG
现在都直接让用户自己加载驱动了吗?太卷了，随便在C盘整个卡密，直接加载驱动，老规矩，先dump。go gomapper，删除自身。记录那些都不用看,基本就是清理三件套
既然验证在内核上面，会访问“C:\1.txt”。直接inline hook NtReadFile随便搜了下字符串即可看到。xrefs一下虚拟化这不是hv吗。clone一份hv编译合并下pdb。除key以外完全一模一样，logger都不带删的InitProcAddress

可以看出来iOS里有额外的公众号环境验证阻止了在普通聊天滥用
而安卓版本缺少关键校验所以出了bug
如果把weixin://bizmsgmenu?msgmenucontent=text&msgmenuid=1这段代码改成其他的还可以实现语音通话拉起等功能。
示例拉起语音通话：<a href="weixin://voip/callagain/?username=ponyma">点我和马化腾打电话</a>

后话

漏洞公布不久TX就启动了应急措施，会把所有a标签的末尾加上空格。例如<a href="weixin://bizmsgmenu?msgmenucontent=text&msgmenuid=1">点我</a>会变成<a href="weixin://bizmsgmenu?msgmenucontent=text&msgmenuid=1">点我</a >加上空格后会导致html语法错误，无法使用