首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]庖丁解毒之中华吸血鬼分析
发表于: 2010-11-3 11:24 10558

[原创]庖丁解毒之中华吸血鬼分析

dragonltx 活跃值
6
2010-11-3 11:24
10558

“中华吸血鬼”是个蠕虫病毒,病毒通过U盘、局域网弱密码猜解、网页挂马、dll劫持等方式传播。该病毒会在%systemroot%/Tasks/中释放多个病毒文件,通过修改注册表键值实现开机自动启动,为了躲避杀毒软件查杀,该病毒还会关闭破坏多种主流杀毒软件和安全工具,并且会屏蔽常见安全网站。病毒会每隔360000ms下载一次新病毒到本地运行,达到其不断更新的目的,还会删除Windows目录中help下的所有文件,电脑一旦感染此病毒,可能会给系统带来很大安全威胁。带着学习和过招的态度,我找到了吸血鬼2.1病毒样本,并对它进行“庖丁解毒”探个究竟。
..................


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (24)
wujimaa
雪    币: 364
活跃值: (1741)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
谢了,学习.
2010-11-3 11:29
0
wujimaa
雪    币: 364
活跃值: (1741)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
楼主传个样本,学习.
2010-11-3 11:31
0
熊猫正正
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
4
support~~把样本传上来吧~~
2010-11-3 11:40
0
lkdsgrjra
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
下来看看。。谢谢分享。
2010-11-3 11:56
0
熊猫正正
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
6
谢谢分享~~
2010-11-3 13:04
0
avzz
雪    币: 264
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
这是啥时候的病毒 这么赤裸裸。。。 哈哈
2010-11-4 16:06
0
xiejienet
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
太恶心了,作者一定是心理阴暗
2010-11-4 17:47
0
fkueihcy
雪    币: 61
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
看了一下
楼主写的很详细,顶一下
2010-11-4 21:05
0
youstar
雪    币: 267
活跃值: (24)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
10
刚看了一页,TerminateProcess能结束360tray.exe、ast.exe、AST.exe,不是很相信,多久调试下~谢谢分享
2010-11-4 23:31
0
A伯
雪    币: 2336
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
超好的学习资料,,,,模拟 enter  ,,,太好玩了
2010-11-4 23:34
0
ycmint
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
私信
12
不错。。。。学习ing
2010-11-5 00:30
0
nbdelphi
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
顶一下!!!!
2010-11-5 08:40
0
Greater
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
恩  
好东东
顶楼主啦
哈哈
下载回去慢慢欣赏啦
2010-11-5 09:58
0
Greater
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
00402E96 . FFD3 CALL EBX ; kernel32.Sleep

为什么我调试到 这儿摁f8还是跟进kernel32.dll然后 就结束了呢
望解答 。。。。。。。。。。
2010-11-5 11:25
0
cscncllf
雪    币: 192
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
谢了,学习.
2010-11-5 12:39
0
dragonltx
雪    币: 363
活跃值: (338)
能力值: ( LV15,RANK:310 )
在线值:
发帖
回帖
粉丝
私信
17
因为之前的代码创建了一个线程004030B6,里面调用WinExec隐蔽执行killme.txt,删除unpacked.exe,所以运行到那里就结束了!我在文章里有提到!
2010-11-5 12:46
0
Greater
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
看到了
本来想自己先调试然后再看你的分析
可惜到这儿断了
只好看你的文章啦
2010-11-5 14:37
0
winnip
雪    币: 145
活跃值: (85)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
19
无限失望。
2010-11-6 16:55
0
wudidaoshi
雪    币: 37
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
你确定他能关掉这些??
2010-11-6 20:37
0
Dao丫an
雪    币: 236
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
很好 关注中
2010-11-7 21:29
0
miaoling
雪    币: 94
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
给楼上的各位提醒一下,中华吸血鬼是开源的!
2010-11-8 21:12
0
wangyuchen
雪    币: 90
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
老大牛人,支持了,学习了
2010-11-8 21:19
0
microdebug
雪    币: 392
活跃值: (89)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
24
surport
2010-11-8 21:29
0
webwizard
雪    币: 29
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
不错 。下载下来拜读 。
2010-11-9 06:46
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//