Jun 13
#threatreport #MediumCompleteness
From Phishing Email to Process Injection: Inside a Multi-Stage Agent Tesla Infection Chain | 09-06-2026
Source: pointwild.com/threat-intelli…
Key details below ↓
💀Threats:
Process_injection_technique, Agent_tesla, Process_hollowing_technique, Native_loader, Credential_harvesting_technique, Credential_dumping_technique, Spear-phishing_technique, Amsi_bypass_technique, Lolbin_technique,
🎯Victims: Windows users
🏭Industry: Financial
📚TTPs:
⚔️Tactics: 11
🛠️Technics: 26
🧨IOCs:
- File: 23
- Hash: 1
- Email: 2
💽Software: Chromium, Internet Explorer, Microsoft Edge, Chrome, Opera, Vivaldi, Firefox, Pale Moon, SeaMonkey, Waterfox, ...
🔢Algorithms: xor, md5, base64
🔠Functions: FromBase64String, GetWindowText, Grab, BXX
🗂️Win API: CreateRemoteThread, VirtualAlloc, NET, GetForegroundWindow, GetKeyboardState, OpenProcess, VirtualAllocEx, WriteProcessMemory
📜Programming Languages: powershell, autoit, python, javascript
#threatreport:
The article delves into a sophisticated malware infection chain tied to the Agent Tesla infostealer, initiated through a seemingly innocuous phishing email containing a heavily obfuscated Batch script. The infection process is multi-staged, progressing from initial access via the malicious attachment to full system compromise while employing a range of evasion techniques to remain undetected.
Upon opening the attachment, a Batch script executes a PowerShell command that serves as a cradle for downloading further malicious payloads directly into memory, minimizing the risk of detection by not leaving traditional disk artifacts. This includes the execution of an in-memory shellcode loader that decodes and runs more malicious code, employing techniques such as Base64 encoding and XOR decryption to obscure its true intent. The malware establishes persistence on the victim's system by leaving residual components in the temporary directory and creating a startup script, ensuring continued execution even after a reboot.
A significant aspect of the attack includes the use of an AutoIt-based script as an injection loader. This loader injects the Agent Tesla payload into a legitimate Windows process, specifically charmap.exe, utilizing remote memory allocation and process creation techniques often associated with process hollowing. Once operational, the malware engages in extensive data theft activities, including capturing browser credentials, keystrokes, and screenshots, which are then exfiltrated via SMTP communication disguised as regular email traffic.
The analysis reveals the malware's sophisticated structure, designed to act stealthily and persistently. It performs system fingerprinting to gather detailed information about the compromised machine. Specific functionalities target various web browsers for credential extraction, including both Chromium and Mozilla-based browsers, and it gathers sensitive data from the Windows Credential Vault. The keylogger component further emphasizes its capability for detailed user activity monitoring.
Significantly, the malware incorporates anti-analysis measures such as checks for debugging, sandbox environments, and virtual machines, enhancing its ability to evade detection during analysis. The implementation of multiple layers of obfuscation and its reliance on fileless execution signify modern infostealer tactics that blend covert operations into legitimate system activities.
Detection strategies discussed in the article emphasize the necessity for proactive monitoring of PowerShell execution patterns, AutoIt usage, email attachment security, and recognizing child process anomalies. The case underscores the evolution of infostealer attacks into comprehensive execution frameworks designed to maximize stealth, persistence, and efficacy in credential theft and data exfiltration, highlighting the growing sophistication of cyber threats.
76
逆鱗 retweeted
Jun 10
Module32First、
Module32Next、
OpenProcess、
InjectHook、
MessageBox
なので、Windows上の全プロセス列挙、対象プロセスorモジュールを探索、インジェクションという流れ、
最期のMessageBoxはわざわざキョンに確認する為に実装したと思われます。(OKボタンしか無いのさすがに信用し過ぎでは?)
1
3
14
2,806
Jun 5
I built a working DLL injector in C from scratch.
Same technique used by Emotet, Cobalt Strike, and custom C2 implants to hijack trusted processes like explorer.exe and svchost.exe.
Here's the full injection chain explained 👇
OpenProcess → VirtualAllocEx → WriteProcessMemory → GetProcAddress → CreateRemoteThread
Understanding how to build the tool is how you learn to detect it.
#DLLInjection #MalwareDev #WindowsInternals #RedTeam #ProcessInjection #OffensiveSecurity
youtu.be/OlMkj1jMyDI
8
73
3,288
May 19
#threatreport #MediumCompleteness
Payload Ransomware: In-depth technical analysis | 05-05-2026
Source: egfincirt.org.eg/payload-ran…
Key details below ↓
💀Threats:
Payload_ransomware, Disabling_eventtracing_technique, Shadow_copies_delete_technique,
🎯Victims: Healthcare, Telecommunications, Finance, Logistics, Middle east, Asia
🏭Industry: Entertainment, Telco, Financial, Healthcare, Logistic
🌐Geo: Asia, Middle east
📚TTPs:
⚔️Tactics: 1
🛠️Technics: 0
🤖LLM extracted TTPs:`
T1027, T1057, T1070.001, T1070.004, T1082, T1083, T1480.002, T1486, T1489, T1490, ...
🧨IOCs:
- File: 38
- Command: 1
- Hash: 2
- Domain: 2
💽Software: Linux, Event Tracing for Windows, DefWatch, QuickBooks, onenote, outlook, wordpad, thebat, steam, Opera, ...
🔢Algorithms: base64, rc4, chacha20, curve25519
🔠Functions: MakeAmericaGreatAgain
🗂️Win API: EvtOpenChannelEnum, EvtNextChannelPath, EvtClearLog, OpenServiceA, QueryServiceStatusEx, Process32FirstW, Process32NextW, CreateToolhelp32Snapshot, OpenProcess, TerminateProcess, ...
⚙️Win Services: VSNAPVSS, PDVFSService, YooBackup, YooIT, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, ...
💻Platforms: cross-platform
#threatreport:
Payload Ransomware, identified in February 2026, is a cross-platform threat primarily targeting mid-to-large-sized organizations in sectors such as healthcare, telecommunications, finance, and logistics, with notable activity observed in the Middle East and Asia. This ransomware family consists of both Windows and Linux variants, with the Windows version exhibiting sophisticated behavior and features.
The Windows variant operates as an executable that can be manually or remotely controlled using various command-line arguments that allow operators to tailor its functionality according to the target's environment. Key features include the ability to run in the background, bypass mutex checks to allow multiple instances, and disable crucial operational security measures like event log recording. The ransomware achieves self-obfuscation by renaming itself to an NTFS alternate data stream, effectively hiding its presence.
Payload employs robust anti-forensic techniques, such as clearing the Windows Event Logs and terminating critical system services before launching its encryption routine. Additionally, it eliminates all Volume Shadow Copies, hence blocking common recovery paths for victims. The malware also meticulously identifies and terminates specific processes known to interfere with its execution.
Its encryption process utilizes a hybrid scheme combining Curve25519 for key exchange and ChaCha20 for rapid file encryption. Files are encrypted with unique keys, and a structured metadata footer—containing encryption specifications—is appended to each file, marked with a .payload extension. This footer, designed for the attacker-side decryption, is obfuscated to hinder analysis.
For the Linux variant, designed primarily for VMware ESXi environments, the functionality is streamlined to focus exclusively on efficient encryption of hosted workloads. Although it lacks the robust anti-recovery mechanics seen in the Windows variant, it shares similar core design principles and cryptographic approaches.
1
2
112
EDRがなぜカーネルドライバを使うのか、その歴史的背景からWindowsドライバの開発、カスタムEDRの実装までを一気通貫で解説したチュートリアル記事です。静的解析の限界からカーネル空間へのアクセスが必要になった経緯、SSDTフックからPatchGuard導入を経てカーネルコールバック機構に移行した流れ、そして実際にカスタムEDR「MyDumbEDR」を組み上げる過程を通じて、EDRの動作原理が一通り学べる構成になっています。
【記事で扱われている内容の整理】
・WinAPIからNTDLL経由でsyscallに至るまでの呼び出しフローと、SSDT(システムサービスディスパッチテーブル)がsyscall番号とカーネル関数アドレスを対応付ける仕組みの図解付き解説
・PatchGuard導入以前はSSDTのアドレスを書き換えて自社ドライバへリダイレクトする手法がセキュリティ製品の常套手段だったが、PatchGuardが重要構造の改変を検知しBSoDを発生させるようになり、セキュリティ製品がMicrosoftの提供するカーネルコールバック機構を活用する方向へ移行した経緯の整理
・カーネルコールバック(PsSetCreateProcessNotifyRoutine、PsSetLoadImageNotifyRoutine、ObRegisterCallbacks等)と、通知ルーチンのポインタを格納するカーネル配列(PspCreateProcessNotifyRoutine等)の構造を解説。攻撃者視点でこの配列を上書きしEDRを無効化する手法にも言及
・Visual StudioとWDK(Windows Driver Kit)を使ったカーネルドライバの開発環境構築から、DriverEntry関数の実装、デバイスオブジェクト作成、シンボリックリンク登録、アンロードルーチンまでをコード付きで網羅
・PsSetCreateProcessNotifyRoutineExでプロセス生成通知を受け取り、コマンドライン文字列を照合してCreationStatusにSTATUS_ACCESS_DENIEDを返すことでプロセス起動を拒否する実装例を掲載
・EDRのユーザー空間コンポーネントとして2種類のエージェントを実装。静的解析エージェントは署名の有無、IAT上のOpenProcess/VirtualAllocEx/WriteProcessMemory/CreateRemoteThreadの存在、SeDebugPrivilege文字列の有無を検査。DLLインジェクションエージェントはMinHookライブラリでNtAllocateVirtualMemoryをフッキングし、RWX(読み書き実行)メモリの確保を検知して即座にプロセスを終了させる
・ドライバとエージェント間は名前付きパイプで通信する構成。フッキング後のNtAllocateVirtualMemory先頭命令がjmpに書き換わる様子をディスアセンブリで提示
コードはGitHubで全て公開されており、このEDRをバイパスするCTF形式の演習も用意されています。防御側の検知ロジックとその限界を同時に理解できる構成です。
詳細は以下を参照:
blog.whiteflag.io/blog/from-…
17
131
6,855
May 7
Windows kernel-level malware and in-memory game cheats are pretty similar but they have a totally different vibe.
Malware is all about sneaking into a clean system and dodging security hurdles.
But with game cheats, the user already opened the door and the system is wide open, so the software just sits there with full control.
One trick is using kernel object callbacks to break down anti-cheat. By using a "jmp rcx" gadget in the kernel itself, cheats can just neutralize the handle protection that anti-cheats rely on.
The asm code looks something like this, where it just grants full access whenever a game process handle is touched.
Kernel object filters are supposed to protect objects by removing access rights, but they can actually grant even more permissions if they run at a lower altitude.
It is a major loophole in the mechanism that cheat devs are cleverly taking advantage of.
With this approach, cheat devs choose a much simpler strategy.
Instead of doing the heavy lifting in kernel-level, they let hidden user-mode cheat modules bypass anti-cheat and mess with game memory using standard APIs like OpenProcess, VirtualAllocEx, Read/WriteProcessMemory.
It is an incredibly easy and effective way for them to get the job done.
1
17
205
13,401
Anti-Tampering Kernel Driver Deep Dive
We have found an interesting WHQL-signed vulnerable kernel driver that protects processes from memory inspection using ObCallbacks.
The driver's SpcSpOpusInfo field identifies the publisher as 株式会社DNPハイパーテック (DNP Hypertech Corporation), suggesting this is part of CrackProof for Windows - a commercial anti-tampering solution.
Being WHQL-signed, this driver is a prime candidate for BYOVD (Bring Your Own Vulnerable Driver) attacks - malware can drop and load it to shield itself from EDR memory scanning and injection-based detection.
How it works
- Registers ObPreOperationCallback on PsProcessType
- Strips DesiredAccess on OpenProcess with mask &= 0xFFFFFFC5
- Blocks: VM_READ | VM_WRITE | VM_OPERATION | CREATE_THREAD (0x3A)
- Preserves: PROCESS_TERMINATE (0x01) — taskkill still works
Anti-analysis
A flawed PID-dependent handshake is supposed to guarantee the integrity of the calling process, but the hash tables are static in .rdata and can be computed offline.
A simple emulation of the kernel module is possible bypass script (tested with 09a5ca7673f3734f8987b2b4d69255ffaa05cd2e77cf2d6f72a2d6a3c91139fb): handshake_hash.py
gist.github.com/pierrehpezie…
Result: debuggers, memory dumpers & injectors fail with ACCESS_DENIED, but the process can still be killed.
IOCs:52591fc20b01ab714543e97b4fcbcfad630d50a4725d98da6f11e9bd5b1cf5bb - deresute64.sys
09a5ca7673f3734f8987b2b4d69255ffaa05cd2e77cf2d6f72a2d6a3c91139fb - andappsvc2_64.sys
1f280d67ff50607e1435b1c10f67c633d681801bcad0d8870128b3698c10634d - usrdrv018064.sys
64035e86735d0c01e0eb0862def6a48f012ec0a8e701874092ee1506ab65d273 - usrdrv017764.sys
65b2956b1f1f26136b692d91de8ad98d6590b7f5b94d0acc88bbc61f8228a579 - usrdrv017864.sys
740025dd6d222bc08b925692a6ef3bd5af86ecd030a8e8cef68b09f5da761fb2 - wfs64.sys
79c2d06072e004639ea3b27c405d5cbb50a0af3531b743521c2b4a42557cc26f - usrdrv118064.sys
079842b1c4fae65b5c6af3e75a7305a263865cd033696a5a2fe7ea707e0c3d71 - Umamusume64_2.sys
2
33
83
10,152
Apr 13
KslKatzBOF
Havoc C2 BOF port of the KslD.sys BYOVD technique. Credential extraction from lsass via physical memory. No OpenProcess, no auditable API calls
github.com/Muz1K1zuM/kslkatz…
#apt #redteam
28
98
4,420
Mar 22
وبعد التوكل على الله… أخيراً وصلت للمرحلة اللي كنت أطمح الوصول إليها 🔥
تم عمل مشروع Local & Remote Process Injection بنجاح 💀🦹🏻♂️… كانت رحلة مليئة بالتجارب، Debugging، والفشل حتى الوصول لهذا المستوى 😎
📌 هذا المقطع يوضح تطبيق Local Process Injection حيث يقوم local.exe بتحميل ملف shell.dll داخل نفس الـ process، وتنفيذ الـ payload داخلياً والحصول على callback بنجاح
طيب، لماذا يتم استخدام Local Process Injection؟بذكر بعض الاسباب بالمختصر فبكل بساطة:
- لتقليل الـ API calls المرتبطة بإنشاء process جديد
- لتفادي بعض آليات EDR detection المرتبطة بـ OpenProcess و WriteProcessMemory
- تنفيذ الكود داخل نفس العملية يقلل الـ behavioral footprint
- مناسب للـ staging أو تحميل payload بشكل تدريجي بدون لفت الانتباه
🎯 القادم أقوى:
شرح وتطبيق Remote Process Injection على processes خارجية مثل notepad وغيره
1
2
14
2,545
I like using NtOpenProcess instead of OpenProcess because it has this neat flag i like to use
1
1
791
Jan 23
#threatreport #HighCompleteness
Weaponized WinRAR Exploitation and Stealth Deployment of Fileless .NET RAT | 23-01-2026
Source: cyfirma.com/research/weaponi…
Key details below ↓
💀Threats:
Motw_bypass_technique, Process_injection_technique, Donut, Quasar_rat, Lolbin_technique,
🎯Victims: Windows users
🏭Industry: Healthcare
🔓CVEs: CVE-2025-8088 \[[Vulners](vulners.com/cve/CVE-2025-808…)]
- CVSS V3.1: *8.8*,
- Vulners: Exploitation: True
Soft:
- rarlab winrar (<7.13)
📚TTPs:
⚔️Tactics: 9
🛠️Technics: 17
🧨IOCs:
- File: 8
- IP: 2
- Path: 2
- Command: 1
- Hash: 4
💽Software: Windows security
🔢Algorithms: base64, xor, sha256
🗂️Win API: OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread
📜Programming Languages: powershell
💻Platforms: x86, amd64
YARA: Found
#threatreport:
The report from CYFIRMA details a sophisticated malware campaign that leverages the WinRAR path validation vulnerability (CVE-2025-8088) to achieve stealthy, persistent remote access on Windows systems without the need for elevated privileges or exploit kits. The attackers create a weaponized RAR archive disguised as a legitimate OSINT tool package, which when extracted, allows for the placement of malicious scripts into auto-execution directories.
Exploitation of CVE-2025-8088 enables the malicious archive to write files outside the intended extraction directory, effectively bypassing security measures. The primary technique involves embedding encoded relative path traversal sequences within the archive that ultimately target the Windows Startup directory. Once extracted, a malicious Batch script is activated, which establishes persistence through multiple mechanisms, including registry modifications and hidden directories intended to evade detection.
Following initial access and script execution, the batch file triggers a PowerShell loader. This loader employs ExecutionPolicy Bypass to execute an obfuscated PowerShell script that decrypts Donut-generated shellcode, subsequently injecting it into trusted Windows processes, such as explorer.exe. This allows the payload to run entirely in memory, minimizing the attack's footprint and facilitating evasion of traditional file-based defenses.
The final payload, identified as Quasar RAT, enables full remote access capabilities, including command execution, file manipulation, keylogging, and system monitoring. The campaign illustrates a trend among threat actors to exploit trusted software vulnerabilities and common user practices for initial access and persistence, thereby avoiding conventional detection barriers associated with malicious software.
2
84
Jan 20
Quem tava com duvida, não ta mais!
Receita de bolo do injetor mais básico do universo:
1. OpenProcess (abrir um handle com acessos privilegiados)
2. VirtualAlloc (aloca memoria no processo com o tamanho do path da dll que vc quer injetar)
3. WriteProfessMemory (pra escrever o nome da DLL no processo alvo)
4. CreateThread (esse é o truque sujo, vc cria uma thread dentro do processo pra ele chamar a dll q vc quer)
5. LoadLibrary
gist.github.com/WLSF/b3e037d…
4
4
20
1,408
Jan 13
#threatreport #HighCompleteness
CastleLoader: A Deep Dive into Stealthy LoaderTargetingGovernment Sector | 13-01-2026
Source: any.run/cybersecurity-blog/c…
Key details below ↓
💀Threats:
Castleloader, Process_hollowing_technique, Pe_injection_technique,
🎯Victims: Government sector, Critical infrastructure, Multiple industries
🏭Industry: Critical_infrastructure, Logistic, Government
📚TTPs:
⚔️Tactics: 5
🛠️Technics: 6
🧨IOCs:
- IP: 2
- File: 29
- Url: 2
- Hash: 2
💽Software: NET Framework, AutoHotKey
🔢Algorithms: sha256, md5, xor, sha1
🔠Functions: SetError, SetExtended, GetProcAddressByHash, GetMalwareConfig
🗂️Win API: AssignProcessToJobObject, AttachThreadInput, CreateEventW, CreateJobObjectW, CreateMutexW, GetProcAddress, CreateFileW, CreateProcessW, OpenProcess, ReadProcessMemory, ...
📜Programming Languages: delphi, autoit, python, pascal
💻Platforms: x64
YARA: Found
#threatreport:
CastleLoader is identified as a stealthy malware loader primarily targeting government sectors and various critical infrastructures. It serves as the initial access point in a chain of attacks, designed to deliver and install additional malicious components. CastleLoader's ability to evade traditional detection mechanisms presents significant challenges for security teams, necessitating the use of up-to-date threat intelligence sources to counteract its tactics effectively.
The analysis of CastleLoader involved both static and dynamic techniques to understand its behavior and capabilities. Initial analysis in a sandbox environment highlighted suspicious processes and network activities tied to its execution. The malware utilizes an Inno Setup installer, which, upon dissection, was found to be a container holding auxiliary files essential for its operation. Key components include an executable named AutoIt3.exe along with a script (freely.a3x), which is heavily obfuscated, making it difficult to analyze straightforwardly.
Dynamic analysis revealed that CastleLoader employs a JScript.NET compiler, drawing attention to its cloaking mechanism by not transmitting additional data to `lpCommanLine`. The scrutiny of the AutoIt script showed that while parts of it could be decompiled, the logic remains obscured by considerable wrapping around WinAPI calls. To further the analysis, a custom parser was built to automate the extraction of strings from the malware by exploiting known patterns within CastleLoader's code, specifically identifying a repeatable XOR byte extraction mechanism that operates on a fixed address basis with a UTF-16LE DWORD pattern.
Indicators of Compromise (IOCs) related to CastleLoader reveal a sophisticated approach to execution, defense evasion, discovery, credential gathering, and command-and-control communications. Specific techniques include the use of AutoHotKey and AutoIT execution methods, obfuscated scripts, and process hollowing to manipulate existing processes. Additionally, network communications are documented, linking HTTP requests made to specific IP addresses, suggesting a well-defined command-and-control infrastructure.
As this loader evolves and adapts, continual monitoring for behavioral changes and emerging patterns will be essential for effectively countering threats posed by CastleLoader and similar malware.
1
7
341
11 Dec 2025
《重生之币圈教父》
第一卷:合肥旧城 · 碎裂的躺赢梦
第四章:程序员的降维打击
“真是什么人都有,傻叉。”
旁边那人嘟囔完这句,便不再理会那个看着披萨照片发呆的怪人。他把剩下的半杯奶茶往桌边一推,双手重新搭回了油腻腻的键盘上。
纪空收回目光,并没有反驳。
在这个时间节点,全世界能看懂那个“披萨交易”含金量的人,加起来不超过三位数。被嘲笑才是正常的。
他侧过头,不动声色地看着身边这个刚骂完他是“傻叉”的年轻人。
此时,这人的注意力已经完全回到了屏幕上。
那是2010年最火爆的横版格斗网游——《地下城与勇士》(DNF)。
屏幕里,一个ID叫“狂拽酷霸天”的狂战士正在机械地刷着“洛兰深处”。
“崩山击……十字斩……普攻、普攻……”
李超嘴里念念有词,手指机械地敲击着键盘。为了省蓝药,他几乎不敢放什么大技能,全靠平砍。每过几分钟,他就得停下来,用力甩一甩酸痛的手腕,或者把手放在键盘旁边叠着的厚毛巾上蹭两下。
纪空从兜里掏出那包刚拆封的红三环,抽出一根,递了过去:
“哥们,借个火?”
李超愣了一下,停下按键盘的手,瞥了一眼纪空递过来的烟。虽然不是什么好烟,但这种“递烟”的动作在网吧里就是最好的社交通行证。
他从兜里摸出一个一块钱的塑料打火机扔给纪空,顺手接过了烟,夹在耳朵上,脸色缓和了不少:
“谢了啊。”
“客气。”纪空点上烟,把打火机还回去,看似随意地指了指屏幕,“玩红眼呢?这职业费手。”
“可不是嘛!”
李超像是找到了知音,一边把烟点上一边吐槽,满嘴的合肥土话:“这破图刷得我想吐。为了这几十块钱金币,我手都要断了。要不是为了搞点烟钱,鬼才受这罪。”
纪空笑了笑,吐出一口烟圈:“听口音是本地人?怎么称呼?”
“李超。这一片熟人都叫我超子。”李超吸了一大口烟,稍微坐直了点身子,也礼貌性地问了一句,“你呢?看着面生,不像常来这上网的。”
“纪空。”纪空简短地报了名字,“在附近上班,刚下班过来坐坐。”
“上班族啊,难怪看着斯文。”李超咧嘴一笑,那种陌生人之间的隔阂感瞬间消散了大半,“那咱俩以后就是邻居了。哎对了,你刚才盯着那英文网页看半天,真看得懂?”
“随便看看,学英语。”纪空随口敷衍了一句,把话题引回了屏幕,“你这么手动刷,一天能出多少金?”
提到这个,李超的脸又垮了下来。
“别提了,运气好一天能刷个百把块,运气不好电费都顾不住。这游戏现在验证码出得太勤了,稍微刷快点就弹窗,烦得要死。”
这时,屏幕上正好又弹出了一个扭曲的四位字母验证框。
李超骂骂咧咧地输入验证码,狠狠按了一下回车键,甩着手腕叹气道:“哎,要是电脑能自己动就好了,我就能躺着数钱了。”
“要是电脑能自己动就好了。”
这句话像一道闪电,精准地击中了纪空的神经。
他看着李超那双因为过度劳累而微微颤抖的手,又看了看屏幕上那个笨拙砍怪的角色。
在李超眼里,这是“搬砖”,是纯粹的体力活。
但在纪空眼里,这满屏幕的画面瞬间解构成了无数条流动的数据。
虽然他不是专业的程序员,但现在的游戏反作弊机制(TP系统)在他看来,简直就像没穿衣服一样充满了漏洞。
“李超,”纪空突然开口,语气里多了一丝玩味,“如果我能让电脑自己动,你信吗?”
“哈?”李超正准备继续砍怪,闻言转过头,像看神经病一样看着纪空,“哥们,你喝多了吧?你是指按键精灵?那玩意儿早就不行了,一用就封号,还没我手刷得快。”
“不是按键精灵。是直接读内存。”
纪空没有废话。他直接掐灭了烟头,转过身面对自己的电脑。
他熟练地打开浏览器,输入了一个短网址。那个年代网吧的网速只有 2M 宽带,但他下载的东西很小。
一个不到5MB的压缩包——OllyDbg 1.10(OD,逆向调试神器)。
一个精简版的VC 6.0。
李超虽然不信,但听到“读内存”三个字,眼神微微变了变。他也是懂点电脑的,知道这三个字意味着什么。
他把角色停在安全区,把椅子往纪空这边挪了挪,伸长脖子看过去。
“这啥玩意?全是英文?”
纪空的屏幕上不再是网页,而是瞬间变成了一片漆黑的窗口。上面滚动着密密麻麻的红绿代码,全是看不懂的十六进制数字。
“做个小工具。”纪空一边操作一边解释,语速不快,但条理清晰,“这游戏的角色动作,在内存里都有对应的地址。我们不需要模拟鼠标,直接告诉内存‘我在砍怪’就行了。”
他熟练地解压OD,将那个红色的图标拖到桌面上,然后直接在“附加进程”里选中了 DNF 的游戏客户端。
瞬间,屏幕上那密密麻麻的汇编指令像瀑布一样流过。
看着这一幕,李超觉得眼晕,但本能地感觉到了厉害:“这是……汇编?”
“对。”纪空指着屏幕上跳动的数据,“我在找‘Call’。简单说,就是你挥刀那个动作的‘灵魂’。”
纪空毕竟不是专职码农,操作不算快。他在堆栈窗口里回溯了好几次,才勉强锁定了一个区域。
“这里。”纪空指着一行代码CALL 004A2B10,“如果我没记错,这就是普通攻击的指令入口。”
随后,他打开 VC ,开始写一段简单的注入代码。
OpenProcess... ReadProcessMemory...
纪空敲代码的速度并不快,甚至偶尔还会停下来思考一下语法。写到循环部分时,他皱了皱眉:“这里得加个循环,但是如果循环太快,可能会卡死……”
“加个Sleep延时呢?”
旁边的李超突然插了一句嘴。他盯着屏幕,眼神发亮,手指不自觉地在桌面上敲击着:“如果一直发指令,CPU肯定受不了。每次攻击中间加个50毫秒的延时,模仿人的手速,是不是更稳?”
纪空转过头,有些惊讶地看了一眼李超。
行家啊。
这小子虽然看着邋遢,但对代码逻辑的直觉非常敏锐。
“有道理。”纪空笑了,顺手采纳了建议,“那就加个 Sleep(50)。还有,拾取物品的范围,我们不模拟鼠标点击,直接改坐标。”
“改坐标?!”李超的眼睛瞬间瞪圆了,“你是说……吸怪?”
“聪明。”纪空赞赏地点点头,“既然内存是我们做主,那怪在哪,还不是我们说了算?”
接下来的二十分钟,画风变了。
原本是纪空一个人的独角戏,变成了两个人的头脑风暴。
纪空负责提供核心思路和关键地址(来自前世的记忆),李超则在旁边不断提出优化建议,甚至指出了纪空代码里的一处语法拼写错误。
“好了。”
纪空按下F7编译,生成了一个只有几十KB 大小的.exe文件。
他把文件拷到李超电脑上,登录了一个 10 级的小号。
“试试?”纪空把位置让开。
李超深吸一口气,颤抖着手双击了那个黑乎乎的小程序。
进入图洛斯废墟。
下一秒,令人惊悚的一幕发生了。
角色站在原地没动,但周围的哥布林却像被一只无形的巨手抓住了一样,瞬间从地图的各个角落被“吸”到了角色面前!
紧接着,因为加了延时,攻击动作并不鬼畜,反而很有节奏感。
唰唰唰!
一连串伤害数字飘起,整个屏幕的怪在 1 秒内全部倒地!
全屏吸怪 自动秒杀!
而且,因为改了坐标,地上的金币就像长了腿一样,自动飞进了背包。
“卧……槽!!”
李超猛地从椅子上弹了起来,手里的奶茶差点被他捏爆。
“成了!吸怪!这特么是全屏吸怪啊!”李超激动得满脸通红,死死抓着纪空的胳膊,“空哥!你太牛逼了!这思路绝了!我怎么就没想到直接改坐标呢!”
纪空看着激动的李超,淡定地点燃了一根烟。
他知道,震住李超的不仅仅是这个外挂,而是这种“降维打击”的思维方式。而李超刚才展现出的灵气,也让纪空确认——这小子是个可造之材,只要稍微点拨一下,未来绝对是顶级的技术。
“这玩意儿能让电脑24小时不停。”纪空吐出一口烟圈,“你需要做的,就是看着它,别掉线。”
李超看着屏幕上那个不知疲倦自动刷钱的角色,眼里的狂热逐渐退去,取而代之的是一种生意人的精明。
他转过头,看着纪空,语气变得无比认真:
“空哥,这东西……咱俩合作吧。”
不是买卖,是合作。
李超很聪明,他知道自己买不起这个技术,但他有别的价值。
“我虽然写不出这核心代码,但我懂这玩意儿怎么跑稳。而且……”李超压低了声音,指了指网吧的前台,“我有路子。”
“路子?”纪空明知故问。
“对!这片网吧的资源都在一个人手里转——龙哥,张大龙!”
李超眼里闪烁着野心:“龙哥手里有几百台机器,正愁没好项目。他要是看到这东西,绝对愿意出本钱!空哥,你有技术,我有路子,咱们能把这层楼包下来搞个工作室!赚了钱咱们分!”
纪空看着李超那双充满渴望的眼睛,嘴角勾起一抹微笑。
这正是他想要的结果。
他需要钱,但他不想自己出面去跟那些鱼龙混杂的人打交道。李超这个“中间人”,还有他背后的“龙哥”,就是最好的白手套。
“行。”纪空按灭了烟头,伸出手,“那就见见这位龙哥。”
两只手在烟雾缭绕的网吧角落里握在了一起。
一只手稍微有些粗糙,带着常年敲键盘的茧子;另一只手修长有力,握住了2010年的第一把钥匙。
(原创小说,转载请标明出处)
10 Dec 2025
《重生之币圈教父》
第一卷:合肥旧城 · 碎裂的躺赢梦
第三章:一分钱难倒英雄汉
夜色像一张浸了水的厚棉被,沉甸甸地盖在合肥老城区的头顶。
纪空从安拖新村走出来,手里捏着那包五块钱的红三环,却没有点。
五万块。
这个数字在他脑子里像走马灯一样转。在 2025 年,这甚至不够他在滨江壹号院开一瓶酒;但在 2010 年的今晚,这就是一道要把他脊梁骨压断的坎。
他盘算了一下家底:工作两年,除去房租、吃饭、偶尔给家里的补贴,卡里剩下的存款只有两千出头。
距离五万,还差四万八。
“得搞钱。”
纪空站在路灯下,看着地上拉长的影子,自嘲地笑了笑。谁能想到,一个重生者,哪怕脑子里装着几万亿的财富密码,第一步还是得像个乞丐一样去凑本金。
他翻开那部诺基亚 5230 的通讯录,手指在一排名字上滑过。
以前的同事?不行,都是月光族,借五百都费劲。
大学同学?大多刚毕业,混得比他还惨,有的还在找工作。
最后,他的手指停在一个名字上——“强子”。
那是他的发小,李强。现在在一家搞装修的公司当业务主管,平时 QQ 空间里不是晒名表就是晒 KTV,号称年入二十万,是朋友圈里混得最“风光”的一个。
“呼……”
纪空深吸一口气,按下了拨通键。
为了这点尊严,他犹豫了半分钟;但为了活着,他只用了那一秒。
……
晚上 8 点 30 分。宁国路,“胖子土菜馆”。
这是一家典型的合肥苍蝇馆子,地面永远油腻腻的,踩上去粘脚。空气里弥漫着爆炒腰花和劣质白酒的味道,嘈杂的划拳声几乎能把房顶掀翻。
“哎呀,空子!来来来,走一个!”
强子满面红光,衬衫扣子解开了两颗,露出里面若隐若现的镀金链子。他手里举着一杯满得溢出来的啤酒,唾沫星子横飞。
“我跟你说,哥们最近那个项目,那是真牛逼。滨湖那个新盘知道吧?那是我们公司包的!你是不知道,那个甲方老总,非要拉着我喝茅台,我不喝都不行……”
纪空坐在他对面,手里捏着那个满是油污的玻璃杯,脸上挂着那种成年人特有的、礼貌而疲惫的微笑。
“是,强哥厉害。”纪空碰了一下杯,仰头干了。
冰凉的啤酒顺着喉咙灌下去,却浇不灭心里的焦躁。
他听着强子吹了半个小时的牛逼。从装修回扣聊到夜场小妹,从合肥房价聊到国际局势。强子那一脸“指点江山”的模样,仿佛整个合肥都在他脚下。
要是上一世,纪空可能会羡慕,也可能会跟着附和。但现在,他看着强子,就像看着一个卖力表演的小丑。他太清楚强子的底细了——那辆雪佛兰科鲁兹是贷款买的,所谓的“年入二十万”也是把报销款都算进去了。
但即便如此,强子依然是他通讯录里最有钱的人。
“强子,”纪空找准一个换气的空档,把酒杯放下,声音放低,“其实今天找你,是有个事想麻烦你。”
强子夹菜的手顿了一下,眼神里那股醉意瞬间清醒了三分。他放下筷子,打了个酒嗝,笑得有点勉强:
“咱兄弟俩,说啥麻烦不麻烦的。你说,只要哥们能办到。”
这话说得漂亮,但在“能办到”三个字上,重音咬得很微妙。
纪空放在桌下的手握紧了拳头,指甲嵌进肉里。他深吸一口气,尽量让自己的语气听起来轻松、自然,像是在说一件微不足道的小事:
“也没啥大事。最近我看中个小项目,想倒腾点电子产品,手头差点周转。想跟你借两万,下个月发了工资加上回款,立马还你。”
空气突然安静了两秒。
强子脸上的笑容僵住了,随即换上了一副比哭还难受的表情。他点了根烟,狠狠吸了一口,眉头皱成了“川”字。
“哎呀……空子,你这就见外了。借钱嘛,多大点事。”
强子吐出一口烟圈,手在桌子上敲了敲,语气突然变得语重心长:
“但是啊,你是不当家不知柴米贵。你别看哥们平时风光,那都是虚的!外面欠我的工程款,压了几十万都没结回来!我现在也是拆东墙补西墙啊。”
纪空的心沉了下去。
他看着强子那双躲闪的眼睛,知道这戏还得演下去。
“我也知道你不容易。”纪空声音更低了,“要不是实在没办法,我也不会开口。能不能……帮我想想办法?一万也行。”
纪空的姿态已经放得很低了。作为一个拥有重生傲骨的男人,这是他在现实面前低头的极限。
强子叹了口气,拿起手机装模作样地翻了翻,然后一脸为难地把屏幕亮给纪空看——那是银行短信,余额显示只有四千多。
“你看,真不是哥们不帮你。这个月刚还了车贷,还得给家里寄钱……你嫂子最近又想换手机,这哪哪都是窟窿啊。”
强子一脸痛心疾首,仿佛比纪空还惨。
纪空没说话。他知道强子昨晚还在群里发了张 KTV 开洋酒的照片,那一瓶酒就不止四千。
这就是现实。
酒桌上的兄弟情,在“借钱”这两个字面前,比卫生纸还薄。
“行,我明白了。”
纪空拿起酒瓶,给自己倒满,然后举杯,“是我冒昧了。来,喝酒。”
他不怪强子。趋利避害是人性。他只是恨现在的自己,无力到连这点尊严都守不住。
强子见纪空没死缠烂打,明显松了口气。他从钱包里抽出几张红票子,数了数,一共三百。
“空子,哥们虽然紧,但这顿饭我请了。这三百块钱你拿着打车,别嫌少。”
三百。
纪空看着桌上那薄薄的三张钞票,心里冷笑了一声。
但他还是伸手接了过来,揣进兜里。
“谢了。”
纪空站起身,一口干掉了杯子里的酒,辛辣的液体冲得他胃里一阵绞痛。
“我还有事,先走了。”
走出土菜馆,身后的喧嚣瞬间被隔绝在门帘之后。纪空站在路边,被冷风一吹,胃里的酒劲上涌,差点吐出来。
他扶着路边的梧桐树,干呕了几声,眼角渗出了生理性的泪水。
“两千存款,加这三百,一共两千三。”
他在心里默念着,漫无目的地走在宁国路的霓虹灯下。路过一家音像店时,里面正放着陈奕迅的《浮夸》,那撕心裂肺的高音听得人心里发慌。
突然,纪空的脚步停住了。
一阵冷风吹醒了酒精麻痹的大脑,他猛地拍了一下自己的脑门,路灯下的影子跟着晃动了一下。
“我真是喝糊涂了!”
他死死盯着手里的那叠钞票。自己这是陷入了惯性思维的误区——为什么非要一次性凑齐五万买矿机?为什么非要一步到位?
现在是 2010 年!
比特币不是 2024 年那个几万美元一枚的庞然大物,它现在还只是极客圈子里的玩具,甚至连正经的交易价格都没有!在这个阶段,几百块人民币可能就能扫荡一大片。
既然没本金买矿机去“挖”,那就用手头的钱去“收”!
“不能一口吃成个胖子,那就蚂蚁搬家,有多少收多少!”
想通了这一层,纪空胸口那块大石头瞬间碎了。他不需要求爷爷告奶奶地去借那四万八了,他现在需要的,是网络,是确认现在的确切行情。
他抬起头,目光锁定在马路对面一块闪烁着五颜六色灯牌的招牌上——“极速网络会所”。
……
推开厚重的玻璃门,一股混合着烟味、泡面味和脚臭味的暖气扑面而来,瞬间将深秋的寒意隔绝在外。
“老板,开台机子,通宵。”
“身份证。押金二十。”
前台小妹头都没抬,机械地接过纪空的身份证刷了一下,扔给他一张写着密码的小纸条,“C区45号,靠窗。”
纪空熟练地穿过一排排正在嘶吼着“为了部落”或者疯狂敲击劲舞团空格键的年轻人,找到了自己的机位。
这是一台配置还算凑合的电脑,显示器是那种略显笨重的19寸液晶屏。纪空坐下,熟练地开机,并没有像其他人那样点开游戏图标,而是迅速打开了那个简陋的IE浏览器。
他深吸一口气,手指在键盘上飞快地敲击,输入了一个全英文的论坛网址——BitcoinTalk。
网页加载得很慢,进度条像蜗牛一样爬行。纪空的心跳却在加速。
右下角的时间显示:2010年5月22 日。
网页终于刷出来了。
纪空的目光如鹰隼般在密密麻麻的英文帖子里搜索,仅仅几秒钟,他的瞳孔骤然收缩,定格在了一个刚刚被顶上来的热门帖子上。
发帖人是laszlo。
帖子标题很简单,却将在未来的金融史上留下浓墨重彩的一笔。
内容大意是:“我成功了!我用1万枚比特币换了两个棒约翰的大披萨!”
帖子下面还附带了照片:两个并不算豪华的披萨,旁边是一双属于程序员的手,以及几瓶果汁。
“真的发生了……”
纪空盯着屏幕,呼吸变得急促起来。作为重生者,他无数次听说过“披萨节”的传说,但当这一幕真真切切地发生在眼前,而且是以“直播”的形式出现时,那种震撼感无以复加。
一万枚比特币。
按未来的最高点计算,这是价值几亿美元的披萨。但在今天,在2010年5月22日的这个晚上,它们仅仅值25美元,甚至还不到。
“不到两百块人民币……”
纪空喃喃自语,手指不自觉地在桌面上颤抖。他现在手里的两千三百块,如果能找到渠道全部换成币,哪怕溢价收购,也能买下好几个“披萨”。
这就是原始积累的疯狂,也是时代给予先知者最慷慨的馈赠。
就在纪空盯着屏幕上的披萨照片出神,脑子里飞速盘算着怎么联系卖家时,旁边突然传来“呲”的一声轻响——是吸管戳破塑料封口的声音。
紧接着,一股甜腻的廉价奶茶香精味飘了过来。
“哎,哥们,大半夜的看美食图片,不饿啊?”
一个略带沙哑的公鸭嗓在耳边响起。
纪空转过头。
旁边那台机子上坐着个看起来二十岁出头的陌生年轻人。头发乱得像个鸡窝,眼圈发黑,身上穿着件皱巴巴的T恤,看起来像是在网吧住了不止一天了。
他手里捧着一杯那种两块钱的杂牌珍珠奶茶,正一边嚼着珍珠,一边斜眼往纪空的屏幕上瞅。
那人把脑袋凑过来,盯着全是英文的屏幕看了一眼。虽然满屏的洋文他看不大懂,但那数字和图片还是认得的。
“个、十、百、千、万……”
年轻人费劲地数了数上面的“0”,随后吸了一大口奶茶,指着屏幕上的数字“10,000”和那两张平平无奇的披萨,像是发现了什么天大的笑话,噗嗤一声笑了出来:
“这写的是啥?这人用一万个这玩意儿……就换了两张披萨?”
纪空看着这个素昧平生的陌生人,微微点了点头,嘴角勾起一抹玩味的弧度:“是啊,一万个。”
“操,这人脑子有泡吧?”
年轻人把奶茶杯重重往桌上一顿,满脸的不屑和嘲讽,那种看傻子的眼神毫不掩饰:
“一万个币才换口吃的?这玩意儿也太不值钱了,比《传奇》里的金币还烂。哪怕是现在的私服,一万金币也能买瓶红药水吧?”
说完,他摇了摇头,转过身继续盯着自己屏幕上的游戏角色,嘴里还嘟囔着一句让纪空印象深刻的评价:
“真是什么人都有,傻叉。”
纪空没有反驳,也没有解释。
他静静地看着屏幕上那两张“天价披萨”,又侧头看了一眼旁边这个正在疯狂敲击键盘、为了一件虚拟装备熬红了眼,却对真正的金山嗤之以鼻的同龄人。
两千块的本金,一万倍的信息差,以及一个把未来首富当成“傻叉”的路人。
在这个烟雾缭绕的合肥网吧里,纪空听到了命运齿轮咬合的巨响。
(原创小说,转载请标明出处)
10
15
15,899
8 Dec 2025
The most basic kernel anticheat, uses this foundational technique to prevent 99% of "game hackers"
1⃣ Set a callback on process handle create/duplicate
2⃣ Strip process handle permissions
OpenProcess will return a handle without access
👉guidedhacking.com/threads/ho…
8
55
3,461
