关于forgot的tElock0.98修改版有木马的说明[注意]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 2 楼最初由 ssqlj 发布软件在http://bbs.pediy.com/showthread.php?s=&threadid=2440 不管是打开它还是打开它加壳过的程序在system32目录下都会生成saga.sys 这个文件最新的瑞星报告此文件是trojan.psw.hhrj.a木马到瑞星主页一查是盗传奇的木马不是木马，是生成一个驱动。当时ForGat是用驱动进入RING0。 2005-3-29 08:04 0
采臣·宁雪币： 154 活跃值： (221) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 3 楼原来是驱动型的木马，危害性更大啊：） 2005-3-29 08:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼不要被某些杀毒软件的误报而误导 2005-3-29 09:08 0
xiaoxinxin 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 99 粉丝 0 关注私信	xiaoxinxin 5 楼这是因为有人用他加密木马，看来以后放免费壳也要小心． 2005-3-29 09:51 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 6 楼传个给大家看看如果真是木马文件各位老大在此就把它给大切八块煮了吃了 2005-3-29 10:08 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 7 楼最初由 kkx2008 发布传个给大家看看如果真是木马文件各位老大在此就把它给大切八块煮了吃了人家说的就是主程序吧？ 2005-3-29 11:40 0
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 169 粉丝 1 关注私信	Fpc 4 8 楼瑞星不错 2005-3-29 12:11 0
落魄浪子雪币： 298 活跃值： (566) 能力值： ( LV9，RANK：530 ) 在线值：发帖 18 回帖 85 粉丝 1 关注私信	落魄浪子 13 9 楼嘿嘿，我从不在自已的电脑上运行这些软件。回公司用，破解也在上班时进行。呵呵。 2005-3-29 23:08 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 10 楼最初由 cyclotron 发布人家说的就是主程序吧？看走眼了现在就下个试试 2005-3-30 00:34 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 11 楼只有1K======哪位见过只有1K的木马======>那也太瘦了吧=====>拿去宰了吃都没肉 2005-3-30 00:59 0
mejy 雪币： 239 活跃值： (220) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 109 粉丝 1 关注私信	mejy 3 12 楼只能说明国产杀毒软件烂，而已，仅此而已。找不到区分方法就一切报警为木马，病毒，呵呵弱！！！ 2005-3-30 17:22 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 13 楼宁可错杀，不放任一 2005-3-30 17:35 0
xxxyyyzzz0 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	xxxyyyzzz0 14 楼 KAV和McAfee都没报，看来是瑞星太烂了驱动是没有任何问题的 00401000: 90 NOP 00401001: 90 NOP 00401002: 90 NOP 00401003: 90 NOP 00401004: 9C PUSHFD 00401005: 60 PUSHAD 00401006: 52 PUSH EDX 00401007: 0F 01 44 24 FE SGDT FWORD PTR [ESP-02] 0040100C: 5A POP EDX 0040100D: 8B C2 MOV EAX,EDX 0040100F: B9 E8 03 00 00 MOV ECX,000003E8 00401014: 81 7C 01 04 00 9A CF 00 CMP DWORD PTR [EAX+ECX+04],00CF9A00 0040101C: 74 12 JZ 00401030 0040101E: C6 00 C3 MOV BYTE PTR [EAX],C3 00401021: C7 04 01 FF FF 00 00 MOV DWORD PTR [EAX+ECX],0000FFFF 00401028: C7 44 01 04 00 9A CF 00 MOV DWORD PTR [EAX+ECX+04],00CF9A00 00401030: 52 PUSH EDX 00401031: 0F 01 4C 24 FE SIDT FWORD PTR [ESP-02] 00401036: 5A POP EDX 00401037: 81 C2 00 01 00 00 ADD EDX,00000100 0040103D: 81 7A 02 E8 03 00 EE CMP DWORD PTR [EDX+02],EE0003E8 00401044: 74 11 JZ 00401057 00401046: C7 42 02 E8 03 00 EE MOV DWORD PTR [EDX+02],EE0003E8 0040104D: 66 89 02 MOV [EDX],AX 00401050: C1 E8 10 SHR AL,10 00401053: 66 89 42 06 MOV [EDX+06],AX 00401057: 61 POPAD 00401058: 9D POPFD 00401059: 33 C0 XOR EAX,EAX 0040105B: C2 08 00 RETN 0008 0040105E: 00 00 ADD [EAX],AL …… 004011FE: 00 00 ADD [EAX],AL 2005-3-30 20:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 2 楼最初由 ssqlj 发布软件在http://bbs.pediy.com/showthread.php?s=&threadid=2440 不管是打开它还是打开它加壳过的程序在system32目录下都会生成saga.sys 这个文件最新的瑞星报告此文件是trojan.psw.hhrj.a木马到瑞星主页一查是盗传奇的木马不是木马，是生成一个驱动。当时ForGat是用驱动进入RING0。 2005-3-29 08:04 0
采臣·宁雪币： 154 活跃值： (221) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 3 楼原来是驱动型的木马，危害性更大啊：） 2005-3-29 08:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼不要被某些杀毒软件的误报而误导 2005-3-29 09:08 0
xiaoxinxin 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 99 粉丝 0 关注私信	xiaoxinxin 5 楼这是因为有人用他加密木马，看来以后放免费壳也要小心． 2005-3-29 09:51 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 6 楼传个给大家看看如果真是木马文件各位老大在此就把它给大切八块煮了吃了 2005-3-29 10:08 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 7 楼最初由 kkx2008 发布传个给大家看看如果真是木马文件各位老大在此就把它给大切八块煮了吃了人家说的就是主程序吧？ 2005-3-29 11:40 0
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 169 粉丝 1 关注私信	Fpc 4 8 楼瑞星不错 2005-3-29 12:11 0
落魄浪子雪币： 298 活跃值： (566) 能力值： ( LV9，RANK：530 ) 在线值：发帖 18 回帖 85 粉丝 1 关注私信	落魄浪子 13 9 楼嘿嘿，我从不在自已的电脑上运行这些软件。回公司用，破解也在上班时进行。呵呵。 2005-3-29 23:08 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 10 楼最初由 cyclotron 发布人家说的就是主程序吧？看走眼了现在就下个试试 2005-3-30 00:34 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 11 楼只有1K======哪位见过只有1K的木马======>那也太瘦了吧=====>拿去宰了吃都没肉 2005-3-30 00:59 0
mejy 雪币： 239 活跃值： (220) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 109 粉丝 1 关注私信	mejy 3 12 楼只能说明国产杀毒软件烂，而已，仅此而已。找不到区分方法就一切报警为木马，病毒，呵呵弱！！！ 2005-3-30 17:22 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 13 楼宁可错杀，不放任一 2005-3-30 17:35 0
xxxyyyzzz0 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	xxxyyyzzz0 14 楼 KAV和McAfee都没报，看来是瑞星太烂了驱动是没有任何问题的 00401000: 90 NOP 00401001: 90 NOP 00401002: 90 NOP 00401003: 90 NOP 00401004: 9C PUSHFD 00401005: 60 PUSHAD 00401006: 52 PUSH EDX 00401007: 0F 01 44 24 FE SGDT FWORD PTR [ESP-02] 0040100C: 5A POP EDX 0040100D: 8B C2 MOV EAX,EDX 0040100F: B9 E8 03 00 00 MOV ECX,000003E8 00401014: 81 7C 01 04 00 9A CF 00 CMP DWORD PTR [EAX+ECX+04],00CF9A00 0040101C: 74 12 JZ 00401030 0040101E: C6 00 C3 MOV BYTE PTR [EAX],C3 00401021: C7 04 01 FF FF 00 00 MOV DWORD PTR [EAX+ECX],0000FFFF 00401028: C7 44 01 04 00 9A CF 00 MOV DWORD PTR [EAX+ECX+04],00CF9A00 00401030: 52 PUSH EDX 00401031: 0F 01 4C 24 FE SIDT FWORD PTR [ESP-02] 00401036: 5A POP EDX 00401037: 81 C2 00 01 00 00 ADD EDX,00000100 0040103D: 81 7A 02 E8 03 00 EE CMP DWORD PTR [EDX+02],EE0003E8 00401044: 74 11 JZ 00401057 00401046: C7 42 02 E8 03 00 EE MOV DWORD PTR [EDX+02],EE0003E8 0040104D: 66 89 02 MOV [EDX],AX 00401050: C1 E8 10 SHR AL,10 00401053: 66 89 42 06 MOV [EDX+06],AX 00401057: 61 POPAD 00401058: 9D POPFD 00401059: 33 C0 XOR EAX,EAX 0040105B: C2 08 00 RETN 0008 0040105E: 00 00 ADD [EAX],AL …… 004011FE: 00 00 ADD [EAX],AL 2005-3-30 20:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复