![木马下载者分析]()
病毒流程分析:
1、创建一个互斥体
2、停止ekrn服务,结束ekrn.exe,egui.exe进程。
3、释放动态库文件 "C:WINDOWSsystem3244810500.dll",结束大量安全软件进程,劫持安全软件。
4、调用GetTickCount函数,根据开机时间生成一个EXE文件到WINDOWS目录(我的…- 发布时间:2011-10-22
Tag:木马 分析 下载 样本 eax 下载者 DWORD mov push ptr esp call lea
拿到这个样本时,他的名字叫"29.exe",拿起PEID查之,UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay],是个压缩壳,然后在看下他有没有附加数据,用Stud_PE查之,如果有,看来是木马生成器生成的!
OK.OD载入,ESP定律,迅速到达OEP!
…- 发布时间:2011-10-22
Tag:木马 QQ 分析 最新 盗号 eax DWORD mov push ptr ss: byte esp call 29.exe
![恶意代码分析之必备家当]()
工欲善其事,必先利其器。希望这个帖子能为有兴趣进入反病毒行业的朋友提供一些基本信息。
先说说硬件:
条件允许的情况下,2条不同网络运营商提供的线路,2台或以上的电脑,具体配置自己感觉满意就行
虽然用虚拟机也可以,但难免某些恶意代码有虚拟机检测机制,所以能…- 发布时间:2011-10-22
Tag:恶意 分析 监测 需要 代码 如果 个人 恶意代码分析之必备家当 必备 调试 IDA 静态
![腾讯2008第三阶段专杀过程思路]()
很简单,分为几个步骤,第一步分析a.EXE得知释放了sys、exe、dll,我们先判断是否中毒了
代码:
BOOL SystemState(HWND hWnd)
{
HANDLE Handle=CreateFileA("\.\slHBKernel32",GENERIC_READ|GENERIC_WRITE,0,NULL,OPEN_EXIST…- 发布时间:2011-10-22
Tag:2008 过程 " 腾讯 if 思路 第三 阶段 第三阶段 return hWnd
![windows平台.lnk文件感染技术研究]()
[目录]
[0x01].简介
[0x02].lnk文件格式解析
[0x03].感染lnk文件实现细节
[0x04].另一类感染思路
[0x05].关于检测
[0x06].其它
[0x01].简介
感染windows平台下的.lnk文件并不是…- 发布时间:2011-10-22
Tag:文件 研究 Windows 技术 感染 平台 push .lnk 00 dword
![突破《网络可疑心跳发现未知木马》理论]()
前言:
我在曾经发表过一片《网络可疑心跳发现未知木马》的文章,文章发表之后很多人在问我这个东西的详细算法问题,其实,这个算法我也只有一个模糊的模型,毕竟上线方式改变的木马太多了,最后有朋友说,你发表之后我们的GH0ST,灰鸽子变种怎么活?为了小黑更快乐,于…- 发布时间:2011-10-22
Tag:木马 网络 这个 " & 未知 可疑 理论 突破 心跳 int ce return
![计算机病毒对消息钩子的利用与对抗]()
一、消息钩子的概念
1、基本概念
Windows应用程序是基于消息驱动的,任何线程只要注册窗口类都会有一个消息队列用于接收用户输入的消息和系统消息。为了拦截消息,Windows提出了钩子的概念。钩子(Hook)是Windows消息处理机…- 发布时间:2011-10-22
Tag:病毒 内存 计算机 进程 利用 函数 内核 消息 // 对抗 结构
![gbvgbv01.exe 病毒分析报告]()
病毒分析:
1.打开进程提升自身SeDebugPrivilege权限。
2.打开病毒程序,释放病毒代码到%SystemRoot%fontsdbr01038.ttf,在系统临时目录创建文件%Temp%�0081769mdd.temp(随机名)和%Temp%�009B4BDeime.temp(随机名)并释放病毒代码到这两个文件中,并分别移动这两个文…- 发布时间:2011-07-04
Tag:病毒 分析 报告 进程 创建 system32 %SystemRoot% 随机 分析报告 gbvgbv01.exe
![ARIBTXMEJJGL.EXE 病毒分析报告]()
病毒分析:
1.创建互斥体,防止程序多次运行
2.操作注册表UserEnvDebugLevel项来测试当前进程是否是调试状态,如果为调试状态就退出。
3.创建文件%Temp%654f_appcompat.txt,
%SystemDriver%ARIBTXMEJJGL.EXE;
%SystemDriver%N11SCTFMON.EXE将自身用拷贝替换的方…- 发布时间:2011-06-24
Tag:病毒 文件 系统 分析 报告 创建 目录 分析报告 %SystemDriver% 自身 ARIBTXMEJJGL.EXE
![druswmlskc.exe 病毒分析报告]()
病毒分析:
1.在D盘下创建文件druswmlskc.exe
2.获得自身所在位置的绝对路径,创建线程
3.讲自己用拷贝替换的方式复制到D:druswmlskc.exe下,并运行自身
4.注册自身的服务
5.创建注册表项目HKEY_LOCAL_MACHINESODTWAREMicrosoftWindowsCurrentVersionExplor…- 发布时间:2011-06-22
Tag:病毒 文件 Microsoft 分析 报告 创建 分析报告 自身 druswmlskc.exe
![ccb6.exe 病毒分析报告]()
病毒分析
1.获得自身路径,创建进程创建文件%SystemRoot%system32ccb6.exe;
2.操作注册表HKEY_CURRENT_CONFIGsystemCurrentControlSetcontrolNetworkProviderHwOrder,并功过RegNotifyChangeKeyValue函数使应用程序能够直接操作注册表项键值;
3操作注册表键值…- 发布时间:2011-06-22
Tag:病毒 注册表 分析 操作 报告 创建 system32 %SystemRoot% 分析报告 ccb6.exe
![cjvesk.dat 病毒分析报告]()
病毒分析:
(1),创建进程快照,遍历查找进程"360tray.exe"、"ravmond.exe"、"qqpctray.exe"进程,若找到则分别标志。
(2),判断是否存在%SystemRoot%system32cjvesk.dat,如果有则退出程序,用该文件来标示本机是否运行过病毒。
(3)…- 发布时间:2011-06-22
Tag:病毒 文件 分析 报告 创建 system32 " %SystemRoot% 分析报告 cjvesk.dat
![SysInfo2.dll 病毒分析报告]()
病毒分析:
1.该文件通过遍历窗口查看是否有窗口类名为"____AVP.Root" ,"AVP.Tray"的窗口信息,如果存在,就修改用户当前系统时间,使用户安装的杀软失效。如果不存在,继续往下执行。
2.先删除"C:Program FilesCommon FilesMicrosoft Sha…- 发布时间:2011-06-17
Tag:病毒 文件 Microsoft 分析 报告 C: " 如果 files 分析报告 窗口 SysInfo2.dll
![UserDatggggggggga.exe 病毒分析报告]()
1.创建互斥体“Ioggggggggggggwnbii”防止病毒同一时刻再次运行。
2.判断自身是否为%SystemRoot%UserDatggggggggga.exe,如果不是,释放病毒文件到%SystemRoot%UserDatggggggggga.exe,设置隐藏、只读属性,创建进程执行%SystemRoot%UserDatggggggggga.exe,删…- 发布时间:2011-06-17
Tag:病毒 分析 报告 创建 %SystemRoot% 分析报告 UserDatggggggggga.exe
| 
