英雄联盟LCU客户端启动崩溃说明及解决办法
该驱动会设置5个内核过滤器:
英雄联盟LCU客户端启动崩溃说明及解决办法
其中TcpFltnetfilter2可以过滤操作系统内所有TCP连接,木马在检测到有SSL连接时,会在其Server hello环节,替换掉传输过来的证书。
原本Client提供的证书是:
英雄联盟LCU客户端启动崩溃说明及解决办法
证书的使用组织为Riot Games,而木马加载后,Ux接收到的证书变成了:
英雄联盟LCU客户端启动崩溃说明及解决办法
证书名字为Sample CA 2,此证书是木马伪造的,可以看到证书的有效期与原证书完全一致。
同时在操作系统的根证书存储区,也可以看到一个木马作者自己签发的根证书:
英雄联盟LCU客户端启动崩溃说明及解决办法
将此根证书添加进操作系统的根证书存储区的效果是,浏览器在接收到伪造证书后,可以通过认证,然而Ux进程在校验服务器证书时,使用的是自己签发的CA证书
因此伪造的证书无法通过校验,导致Ux拒绝连接:
000003.845(北联网教程,专业提供视频软件下载)
……