[注意]终于遇到传说中的图片病毒了-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[注意]终于遇到传说中的图片病毒了

发表于: 2010-10-22 12:55 67682

[注意]终于遇到传说中的图片病毒了

wzanthony

2010-10-22 12:55

67682

查看主题内容

收藏・102

免费・7

支持

最新回复 (141) ◀ 1 2 3 4 5 6 ▶
seny 雪币： 227 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 71 粉丝 0 关注私信	seny 76 楼试了下，发现前面的文件名要3个才行。刚好够转换。 2010-11-12 09:05 0
乾爵爺雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	乾爵爺 77 楼不算漏洞吧，他只是将文件名按从右到左的顺序排列，QQ的用户名也能这样，以致很多人的QQ号都是反着显示的。 2010-11-13 13:30 0
Gall 雪币： 156 活跃值： (190) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 99 粉丝 0 关注私信	Gall 78 楼收藏,学习了！ 2010-11-14 22:51 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 79 楼啊，这挺牛的。谁发现的呀 2010-11-15 17:55 0
风过果落雪币： 56 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	风过果落 80 楼这个原理怎么弄啊？？ 2010-11-16 09:26 0
Gall 雪币： 156 活跃值： (190) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 99 粉丝 0 关注私信	Gall 81 楼在这里用提供简写的汇编代码,供大家研究一下,其实大家可以自己发挥的. 利用上面的原理,可以做很多事情的. .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib include shell32.inc includelib shell32.lib ;==================================================================================== .code szPth db "C:\Xa..\",0 szOpen db 'open',0 ;============创建文件夹[打开]========================================================= _CD proc invoke CreateDirectoryA,addr szPth,NULL invoke ShellExecute,NULL,addr szOpen,addr szPth,NULL,NULL,SW_SHOWNORMAL ret _CD endp ;=============删除文件夹=============================================================== _RD proc invoke RemoveDirectoryA,addr szPth _RD endp ;==================================================================================== start: call _RD ret end start ;================================================================================== 上传的附件：特殊文件夹.JPG （43.33kb，333次下载） 2010-11-16 19:57 0
insmile 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	insmile 82 楼用过在qq，让号码反转 2010-11-16 21:04 0
北落师门雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	北落师门 83 楼感谢提醒，防不胜防呀！ 2010-11-16 21:16 0
gjden 雪币： 6790 活跃值： (4441) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 277 关注私信	gjden 14 84 楼这个早就发现过了,那时客户一直问这是什么原因,后来用winhex查看ntfs的文件名属性时,才发现0x202e在做碎. 2010-11-16 22:13 0
dqs 雪币： 1099 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	dqs 85 楼非常好玩呀！把QQ反过来了，不过“...的空间”显示的是“间空的..”，真搞笑。 2010-11-16 23:04 0
hackboylyq 雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 48 粉丝 0 关注私信	hackboylyq 86 楼貌似之前就见过类似的东西 2010-11-17 00:13 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 87 楼我来看看，先留留言。。。 2010-11-17 09:59 0
wsliangy 雪币： 14 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	wsliangy 88 楼利用了Unicode的反转字符顺序控制符，，恩，宽字节处理文件名时，在适当位置插入2e20即可、、 2010-11-17 13:02 0
isamk 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	isamk 89 楼难怪Windows的系统里用的后缀多数是前后一样的如：exe,txt 这样的文件用那个字符就没办法违造了 2010-11-19 19:09 0
deqvepl 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	deqvepl 90 楼文件的真实名称可以在cmd控制台里面看到，并且可以在控制台里面用copy命令进行替换，也就是说你的任何一个exe文件都可以用copy命令覆盖这个样本。我是菜鸟，如何替换？请指教 2010-11-19 20:36 0
tokiii 雪币： 695 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	tokiii 91 楼阿拉伯字符从右往左 2010-11-19 21:07 0
bosket 雪币： 177 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	bosket 92 楼再下载研究一下. 2010-11-21 02:46 0
印度阿四雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	印度阿四 93 楼以后看图也要小心了啊。 2010-11-21 18:50 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 94 楼很好很强大。。。 2010-12-1 01:53 0
sjwuzk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	sjwuzk 95 楼不是太懂不过要小心了 2010-12-1 11:51 0
sky科雪币： 240 活跃值： (428) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 170 粉丝 1 关注私信	sky科 96 楼很不错.顶一个~ 2010-12-3 00:54 0
风卷Wind 雪币： 81 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	风卷Wind 1 97 楼这个东西非常有趣，看来微软又要出补丁了 2010-12-3 15:39 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 98 楼标记,很特别啊 2010-12-29 16:09 0
xmaker 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	xmaker 99 楼用16进制打开看，凡是执行文件都是以,MZ开头的。从文件内容上看来，这个程序的确是执行程序。但是屏幕保护程序实际上也是一种程序。！~ 2010-12-29 16:40 0
zzhoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zzhoo 100 楼下来分析下看看 2010-12-29 21:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wzanthony

发帖

430

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (141) ◀ 1 2 3 4 5 6 ▶
seny 雪币： 227 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 71 粉丝 0 关注私信	seny 76 楼试了下，发现前面的文件名要3个才行。刚好够转换。 2010-11-12 09:05 0
乾爵爺雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	乾爵爺 77 楼不算漏洞吧，他只是将文件名按从右到左的顺序排列，QQ的用户名也能这样，以致很多人的QQ号都是反着显示的。 2010-11-13 13:30 0
Gall 雪币： 156 活跃值： (190) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 99 粉丝 0 关注私信	Gall 78 楼收藏,学习了！ 2010-11-14 22:51 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 79 楼啊，这挺牛的。谁发现的呀 2010-11-15 17:55 0
风过果落雪币： 56 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 87 粉丝 0 关注私信	风过果落 80 楼这个原理怎么弄啊？？ 2010-11-16 09:26 0
Gall 雪币： 156 活跃值： (190) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 99 粉丝 0 关注私信	Gall 81 楼在这里用提供简写的汇编代码,供大家研究一下,其实大家可以自己发挥的. 利用上面的原理,可以做很多事情的. .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib include shell32.inc includelib shell32.lib ;==================================================================================== .code szPth db "C:\Xa..\",0 szOpen db 'open',0 ;============创建文件夹[打开]========================================================= _CD proc invoke CreateDirectoryA,addr szPth,NULL invoke ShellExecute,NULL,addr szOpen,addr szPth,NULL,NULL,SW_SHOWNORMAL ret _CD endp ;=============删除文件夹=============================================================== _RD proc invoke RemoveDirectoryA,addr szPth _RD endp ;==================================================================================== start: call _RD ret end start ;================================================================================== 上传的附件：特殊文件夹.JPG （43.33kb，333次下载） 2010-11-16 19:57 0
insmile 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	insmile 82 楼用过在qq，让号码反转 2010-11-16 21:04 0
北落师门雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	北落师门 83 楼感谢提醒，防不胜防呀！ 2010-11-16 21:16 0
gjden 雪币： 6790 活跃值： (4441) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 277 关注私信	gjden 14 84 楼这个早就发现过了,那时客户一直问这是什么原因,后来用winhex查看ntfs的文件名属性时,才发现0x202e在做碎. 2010-11-16 22:13 0
dqs 雪币： 1099 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	dqs 85 楼非常好玩呀！把QQ反过来了，不过“...的空间”显示的是“间空的..”，真搞笑。 2010-11-16 23:04 0
hackboylyq 雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 48 粉丝 0 关注私信	hackboylyq 86 楼貌似之前就见过类似的东西 2010-11-17 00:13 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 87 楼我来看看，先留留言。。。 2010-11-17 09:59 0
wsliangy 雪币： 14 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	wsliangy 88 楼利用了Unicode的反转字符顺序控制符，，恩，宽字节处理文件名时，在适当位置插入2e20即可、、 2010-11-17 13:02 0
isamk 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	isamk 89 楼难怪Windows的系统里用的后缀多数是前后一样的如：exe,txt 这样的文件用那个字符就没办法违造了 2010-11-19 19:09 0
deqvepl 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	deqvepl 90 楼文件的真实名称可以在cmd控制台里面看到，并且可以在控制台里面用copy命令进行替换，也就是说你的任何一个exe文件都可以用copy命令覆盖这个样本。我是菜鸟，如何替换？请指教 2010-11-19 20:36 0
tokiii 雪币： 695 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	tokiii 91 楼阿拉伯字符从右往左 2010-11-19 21:07 0
bosket 雪币： 177 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	bosket 92 楼再下载研究一下. 2010-11-21 02:46 0
印度阿四雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	印度阿四 93 楼以后看图也要小心了啊。 2010-11-21 18:50 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 94 楼很好很强大。。。 2010-12-1 01:53 0
sjwuzk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	sjwuzk 95 楼不是太懂不过要小心了 2010-12-1 11:51 0
sky科雪币： 240 活跃值： (428) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 170 粉丝 1 关注私信	sky科 96 楼很不错.顶一个~ 2010-12-3 00:54 0
风卷Wind 雪币： 81 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	风卷Wind 1 97 楼这个东西非常有趣，看来微软又要出补丁了 2010-12-3 15:39 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 98 楼标记,很特别啊 2010-12-29 16:09 0
xmaker 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	xmaker 99 楼用16进制打开看，凡是执行文件都是以,MZ开头的。从文件内容上看来，这个程序的确是执行程序。但是屏幕保护程序实际上也是一种程序。！~ 2010-12-29 16:40 0
zzhoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zzhoo 100 楼下来分析下看看 2010-12-29 21:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复