首页
社区
课程
招聘
关于forgot的tElock0.98修改版有木马的说明[注意]
发表于: 2005-3-29 04:30 5142

关于forgot的tElock0.98修改版有木马的说明[注意]

2005-3-29 04:30
5142
软件在http://bbs.pediy.com/showthread.php?s=&threadid=2440
不管是打开它还是打开它加壳过的程序在system32目录下都会生成saga.sys
这个文件 最新的瑞星报告此文件是trojan.psw.hhrj.a木马
到瑞星主页一查是盗传奇的木马

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (13)
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
最初由 ssqlj 发布
软件在http://bbs.pediy.com/showthread.php?s=&threadid=2440
不管是打开它还是打开它加壳过的程序在system32目录下都会生成saga.sys
这个文件 最新的瑞星报告此文件是trojan.psw.hhrj.a木马
到瑞星主页一查是盗传奇的木马


不是木马,是生成一个驱动。当时ForGat是用驱动进入RING0。
2005-3-29 08:04
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
原来是驱动型的木马,危害性更大啊:)
2005-3-29 08:35
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
不要被某些杀毒软件的误报而误导
2005-3-29 09:08
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这是因为有人用他加密木马,看来以后放免费壳也要小心.
2005-3-29 09:51
0
雪    币: 107
活跃值: (54)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
传个给大家看看
如果真是木马文件各位老大在此就把它给大切八块煮了吃了
2005-3-29 10:08
0
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
7
最初由 kkx2008 发布
传个给大家看看
如果真是木马文件各位老大在此就把它给大切八块煮了吃了

人家说的就是主程序吧?
2005-3-29 11:40
0
雪    币: 598
活跃值: (282)
能力值: ( LV13,RANK:330 )
在线值:
发帖
回帖
粉丝
8
瑞星不错
2005-3-29 12:11
0
雪    币: 298
活跃值: (566)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
9
嘿嘿,我从不在自已的电脑上运行这些软件。回公司用,破解也在上班时进行。呵呵。
2005-3-29 23:08
0
雪    币: 107
活跃值: (54)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
最初由 cyclotron 发布

人家说的就是主程序吧?

看走眼了
现在就下个试试
2005-3-30 00:34
0
雪    币: 107
活跃值: (54)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
只有1K======哪位见过只有1K的木马======>那也太瘦了吧=====>拿去宰了吃都没肉
2005-3-30 00:59
0
雪    币: 239
活跃值: (220)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
12
只能说明国产杀毒软件烂,而已,仅此而已。找不到区分方法就一切报警为木马,病毒,呵呵弱!!!
2005-3-30 17:22
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
宁可错杀,不放任一
2005-3-30 17:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
KAV和McAfee都没报,看来是瑞星太烂了

驱动是没有任何问题的
00401000: 90                             NOP
00401001: 90                             NOP
00401002: 90                             NOP
00401003: 90                             NOP
00401004: 9C                             PUSHFD
00401005: 60                             PUSHAD
00401006: 52                             PUSH EDX
00401007: 0F 01 44 24 FE                 SGDT FWORD PTR [ESP-02]
0040100C: 5A                             POP EDX
0040100D: 8B C2                          MOV EAX,EDX
0040100F: B9 E8 03 00 00                 MOV ECX,000003E8
00401014: 81 7C 01 04 00 9A CF 00        CMP DWORD PTR [EAX+ECX+04],00CF9A00
0040101C: 74 12                          JZ 00401030
0040101E: C6 00 C3                       MOV BYTE PTR [EAX],C3
00401021: C7 04 01 FF FF 00 00           MOV DWORD PTR [EAX+ECX],0000FFFF
00401028: C7 44 01 04 00 9A CF 00        MOV DWORD PTR [EAX+ECX+04],00CF9A00
00401030: 52                             PUSH EDX
00401031: 0F 01 4C 24 FE                 SIDT FWORD PTR [ESP-02]
00401036: 5A                             POP EDX
00401037: 81 C2 00 01 00 00              ADD EDX,00000100
0040103D: 81 7A 02 E8 03 00 EE           CMP DWORD PTR [EDX+02],EE0003E8
00401044: 74 11                          JZ 00401057
00401046: C7 42 02 E8 03 00 EE           MOV DWORD PTR [EDX+02],EE0003E8
0040104D: 66 89 02                       MOV [EDX],AX
00401050: C1 E8 10                       SHR AL,10
00401053: 66 89 42 06                    MOV [EDX+06],AX
00401057: 61                             POPAD
00401058: 9D                             POPFD
00401059: 33 C0                          XOR EAX,EAX
0040105B: C2 08 00                       RETN 0008
0040105E: 00 00                          ADD [EAX],AL
……
004011FE: 00 00                          ADD [EAX],AL
2005-3-30 20:22
0
游客
登录 | 注册 方可回帖
返回
//