|
|
|
|
|
深入SXS病毒
最初由 newsearch 发布 spoolsv.exe只是这个马的表面,它只负责点击一个网页,提高其点击率 它的主要的模块是在c:\windows\system32\cryptchr.dll里,这个东西是这样加载的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32] <WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation] cryptchr.dll里导出SysLogon和SysLogOff两个函数,SysLogon函数 003E530C >/>mov dword ptr [3E767C], 6DDD00 003E5316 |>xor eax, eax 003E5318 |>mov [3E7680], eax 003E531D |>mov eax, 003E76A8 003E5322 |>call 003E35B4 003E5327 |>push 1 003E5329 |>push 0 003E532B |>push 003E52DC 003E5330 |>push 0 003E5332 |>mov eax, [3E60D8] 003E5337 |>push eax 003E5338 |>call <jmp.&winmm.timeSetEvent> 003E533D |>mov [3E7684], eax 003E5342 |>call 003E4C44 003E5347 |>call 003E4D60 003E534C \>retn SysLogOff函数 003E5350 >/$ E8 3BFDFFFF call 003E5090 003E5355 |. 833D 84763E00 0>cmp dword ptr [3E7684], 0 003E535C |. 74 0B je short 003E5369 003E535E |. A1 84763E00 mov eax, [3E7684] 003E5363 |. 50 push eax 003E5364 |. E8 ABF7FFFF call <jmp.&winmm.timeKillEvent> 003E5369 \> C3 retn 彻底清除的步骤: 1. 终止spoolsv.exe 2. 使用SRE删除掉这一注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32] <WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation] 3. 删除c:\windows\system32\cryptchr.dll 删除c:\windows\Temp\FileMap.dat 删除c:\windows\spoolsv.exe 删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\里面所有的东西,特别是SDI_20061207[1].exe 删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files下面所有的东西 BTW:好像是上了黄网才会感染,当时我开了卡巴,但那天卡巴的病毒库还查不出这个,但昨天升级的病毒库当中就可以查出来了,但也是除标不除本,只删除掉spoolsv.exe,没用。 还有,Rising给了回复,说会在新版本中加入对它的查杀,但因为我没有提到cryptchr.dll,估计他们也是除标不除本 
|
|
|
深入SXS病毒
最初由 cnbragon 发布 一晚上,终于搞定这个东西了
|
|
|
[求助]这个算法如何逆向?
keygenme?能发给我看看吗? |
|
|
|
|
|
Tea 加密算法的疑问?
很多时候,碰到这种问题,就显示出标准文档的重要性了 在TEA标准文档中,加密过程是这样的: void code(long* v, long* k) { unsigned long y=v[0],z=v[1], sum=0, /* set up */ delta=0x9e3779b9, /* a key schedule constant */ n=32 ; while (n-->0) { /* basic cycle start */ sum += delta ; y += ((z<<4)+k[0]) ^ (z+sum) ^ ((z>>5)+k[1]) ; z += ((y<<4)+k[2]) ^ (y+sum) ^ ((y>>5)+k[3]) ; } /* end cycle */ v[0]=y ; v[1]=z ; } |
|
|
[求助]这个算法如何逆向?
你确定是这样的吗?是不是还有其它的细节、提示等等? |
|
|
深入SXS病毒
最近被一个spoolsv.exe病毒搞的郁闷死 简单说一下:主程序为spoolsv.exe,ASPack加的壳,主要是访问这个网站: 70cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4k6W2M7X3W2X3P5g2)9J5k6h3#2A6M7U0S2Q4x3X3g2A6L8X3k6G2i4K6u0r3 估计是盗传奇账号的? spoolsv.exe位于C:\Windows\目录下,删除会,大概半个小时后又会出来,没找到还有什么地方会把它弄出来的,把这个样本提交给rising,音信全无,后来今天晚上发现KAV能查出来这个东西了,KAV今天更新的病毒库,看来是新病毒啊,查出来是 Trojan-Downloader.Win32.Delf.bex 现在的问题是:IE会自动访问上面这个网站,然后下载文件 被KAV的Web病毒保护发现了: 2007-02-05 21:43:58 恶意 HTTP 对象 <a7eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4k6W2M7X3W2X3P5g2)9J5k6h3#2A6M7U0S2Q4x3X3g2A6L8X3k6G2i4K6u0r3c8f1j5%4c8e0y4m8z5e0q4Q4x3X3b7%4x3e0t1K6i4K6u0V1y4o6l9H3x3q4)9J5k6p5p5J5y4e0g2Q4x3X3c8q4x3p5q4n7b7f1x3H3x3@1t1H3b7@1q4Q4x3V1k6e0c8p5W2Q4y4h3j5J5x3o6l9$3x3e0t1H3y4#2)9J5k6h3g2^5k6g2)9J5c8V1q4e0f1r3q4U0K9#2)9J5y4X3N6@1i4K6y4n7i4K6y4m8 拒绝访问. 不知道它怎样利用IE自动访问这个网站的? 还望爱暴兄指点迷津。 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IDA5的密码学SIG文件不能识别相关算法?
最初由 laomms 发布 这就是你识别不出来的原因 flair 制作的sig,一般是针对某个算法库,做出其相应的obj文件的sig,这个signature是每个函数的sig,而不是通过查找某些算法常数来识别的 而kanal,对于MD5,是通过是search那个具有64个元素的表来识别的 所以,如果你想识别的话,用delphi生成你的obj文件,然后再用flair 做个sig |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
勋章
兑换勋章
证书
证书查询 >
能力值
