概述
Veilx 脚本执行器分析报告
VeilX 脚本执行器分析报告
文件信息
| 属性 | 值 |
|---|---|
| 文件名 | 25文件45b53062838fd0774686c086c60a157d.exe |
| 文件路径 | D:\Downloads\样本测试\样本测试\测试样本汇总 V2\EDR行为检测-样本26\25文件45b53062838fd0774686c086c60a157d.exe |
| MD5 | 45b53062838fd0774686c086c60a157d |
| SHA256 | bb93394c80fa61399c43924c9bf0fabff6927fdbbe50cd11a1fbc1cdfd04b066 |
| CRC32 | 0x5ef502de |
| 文件大小 | 0x6000 (24576 字节) |
| 基址 | 0x140000000 |
| 模块大小 | 0xa000 (40960 字节) |
| 程序类型 | .NET 可执行文件 |
执行摘要
VeilX 是一个基于 .NET Framework 的游戏脚本执行器工具,主要用于在游戏进程中注入和执行 Lua 脚本。该程序提供了一个图形用户界面(GUI),允许用户浏览、编辑、执行和注入游戏脚本。
主要特征
- 程序名称: VeilX
- 版本: V1.0.0
- 所有者: Incognito Scripts/Bot_light
- 状态: 工作中 (Working: Yes)
- 等级: Level 8
- UNC (未检测率): 80%
- 封禁状态: N/A
程序结构分析
入口点
- 地址:
0x1640 - 函数名:
VeilX.Program::Main - 大小: 0x1a (26 字节)
- 描述: 程序的主入口点,负责启动应用程序
主要函数列表
数据结构类
字符串分析
程序中包含以下重要字符串:
| 地址 | 字符串 | 描述 |
|---|---|---|
0x2000 | ”Segoe UI” | 字体名称 |
0x2012 | ”Execute.Image” | Execute 按钮图片 |
0x202e | ”Execute” | Execute 按钮文本 |
0x203e | ”Inject.Image” | Inject 按钮图片 |
0x2058 | ”Inject” | Inject 按钮文本 |
0x20fe | ”Microsoft Sans Serif” | 字体名称 |
0x2136 | ”V1.0.0” | 版本号 |
0x2152 | ”VeilX” | 程序名称 |
0x21f6 | 正则表达式模式 | 编辑器语法高亮规则 |
0x22d6 | ”Editor” | 编辑器 |
0x230e | ”—VeilX Best Executor” | 程序标语 |
0x237a | ”𝙉𝙚𝙭𝙩 𝙪𝙥𝙙𝙖𝙩𝙚: 𝚂𝚘𝚘𝚗…” | 下次更新信息 |
0x23ce | ”𝙇𝙚𝙫𝙚𝙡: 8” | 等级信息 |
0x23f8 | ”𝙐𝙉𝘾: 80%“ | 未检测率 |
0x241e | ”𝙊𝙬𝙣𝙚𝙧𝙨: 𝙸𝚗𝚌𝚘𝚐𝚗𝚒𝚝𝚘 𝚂𝚌𝚛𝚒𝚙𝚝𝚜/𝙱𝚘𝚝_𝚕𝚒𝚐𝚑𝚝“ | 所有者信息 |
0x24b0 | ”𝘽𝙖𝙣𝙬𝙖𝙫𝙚: 𝙽/𝙰“ | 封禁状态 |
0x24fa | ”𝙒𝙤𝙧𝙠𝙞𝙣𝙜: 𝚈𝚎𝚜“ | 工作状态 |
功能分析
1. 主窗体 (Form1)
主窗体是程序的核心界面,包含以下功能:
- Execute 功能 (
guna2Button3_Click): 执行用户输入的脚本代码 - Inject 功能 (
guna2Button8_Click): 将脚本注入到目标游戏进程 - 脚本编辑器: 提供语法高亮功能的代码编辑器
- 脚本管理: 浏览、获取、保存脚本
2. 数据结构
程序定义了以下数据结构来管理脚本和游戏信息:
- ScriptObject: 存储脚本元数据(标题、游戏、浏览次数、是否修补、脚本类型、是否通用、验证状态、密钥、脚本内容)
- ResultContent: 存储脚本搜索结果(总页数、脚本列表)
- ResultObject: 包装结果对象
- Game: 存储游戏信息(图片URL)
3. 资源管理
程序使用 .NET 资源管理器来管理应用程序资源,包括:
- 图片资源(按钮图标)
- 字体资源
- 本地化资源
安全分析
潜在风险
- 进程注入: 程序具有将代码注入到其他进程的能力,这是典型的游戏作弊工具特征
- 脚本执行: 允许执行任意 Lua 脚本,可能被用于恶意目的
- 反检测: 程序声称具有 80% 的未检测率(UNC),表明它可能包含反检测机制
行为特征
- 游戏脚本注入和执行
- 进程操作能力
- 网络通信(可能用于获取脚本列表)
- 文件操作(保存/加载脚本)
技术细节
.NET 特征
- 程序使用 .NET Framework 开发
- 使用 Windows Forms (WinForms) 作为 GUI 框架
- 使用 Guna2 UI 控件库(现代化的 UI 组件)
- 使用正则表达式进行语法高亮
控件分析
程序使用以下控件:
guna2Button: 现代化按钮控件guna2Panel: 面板控件guna2GradientPanel: 渐变面板控件Editor: 代码编辑器控件(可能是第三方控件)
分析步骤总结
- ✅ 获取程序基本信息: 成功获取文件的 MD5、SHA256、大小等基本信息
- ✅ 列出所有函数: 成功列出程序中的所有 48 个函数
- ✅ 分析入口点: 分析了主入口点
VeilX.Program::Main - ✅ 分析关键函数: 分析了主要的事件处理函数和初始化函数
- ✅ 添加注释: 为关键函数添加了描述性注释
- ✅ 字符串分析: 提取并分析了程序中的所有字符串
- ✅ 创建报告: 生成了完整的分析报告
结论
VeilX 是一个典型的游戏脚本执行器工具,主要用于在游戏中注入和执行 Lua 脚本。该程序具有以下特点:
- 用途: 游戏作弊/脚本执行
- 技术栈: .NET Framework, Windows Forms, Guna2 UI
- 功能: 脚本编辑、执行、注入、管理
- 风险等级: 中等(具有进程注入和代码执行能力)
该程序本身不是恶意软件,但属于游戏作弊工具,可能违反游戏服务条款,并可能被安全软件标记为潜在威胁。
添加的注释
以下地址已添加注释:
| 地址 | 注释内容 |
|---|---|
0x1640 | 程序入口点 - VeilX脚本执行器主函数 |
0x40 | Execute按钮点击事件 - 执行脚本 |
0x50 | Inject按钮点击事件 - 注入脚本 |
0x70 | Form1_Load事件 - 窗体加载时初始化 |
0xd0 | guna2Button1_Click - 可能是打开或清除脚本编辑器 |
0x130 | InitializeComponent - 初始化窗体组件和控件 |
0x90 | guna2Button5_Click - 可能是打开脚本列表或获取脚本 |
0xa0 | guna2Button4_Click - 可能是保存或导出脚本 |
分析完成时间: 2026-02-03
分析工具: IDA Pro + MCP Server
分析人员: Copilot Code Pro