[原创]一个俄罗斯木马样本的浅显分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一个俄罗斯木马样本的浅显分析

发表于: 2010-11-19 19:08 14280

[原创]一个俄罗斯木马样本的浅显分析

YangCoCol

2010-11-19 19:08

14280

本木马病毒样本是由论坛网友提供ID:xieeershao~
据说是俄罗斯一黑客编写~~
目前基本对所有杀软免杀~~~
菜鸟之作！请多多指教！

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

分析.pdf （250.79kb，512次下载）
注入代码拷贝.rar （548.76kb，463次下载）

收藏・10

免费・7

支持

最新回复 (31) 1 2 ▶
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 142 关注私信	熊猫正正 9 2 楼先看看再留言~~ 2010-11-19 19:11 0
aiie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	aiie 3 楼学习下分析.. 2010-11-19 19:49 0
大嘴呀呀雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	大嘴呀呀 4 楼不知所云…… 2010-11-19 20:10 0
风间仁雪币： 29253 活跃值： (7784) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 83 关注私信	风间仁 19 5 楼太猛了。还特地写了个驱动监视 2010-11-19 20:44 0
newtonlove 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	newtonlove 6 楼强烈学习一下 2010-11-19 21:42 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼话说，这玩意貌似不给力啊， **木马第一条：要过360~ 2010-11-20 09:03 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 8 楼下来分析谢谢 2010-11-20 09:49 0
lixupeng 雪币： 563 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 9 楼学习下 2010-11-20 10:01 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 10 楼原来是VB的！ 2010-11-20 10:01 0
黑色刺客雪币： 0 活跃值： (329) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 117 粉丝 1 关注私信	黑色刺客 11 楼呵,附件的大小是亮点 2010-11-20 17:43 0
whydbg 雪币： 1432 活跃值： (3072) 能力值： ( LV9，RANK：156 ) 在线值：发帖 0 回帖 104 粉丝 1 关注私信	whydbg 12 楼学习一下 . 2010-11-20 19:50 0
小菜鸟一雪币： 1155 活跃值： (4247) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 13 楼强帖留名123 2010-11-20 20:38 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 14 楼 wocao,这真是俄罗斯黑客写的?感觉随便一个用vb的小朋友都能做哇 2010-11-20 21:23 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 15 楼不懂，其实楼主并没有分析明白！！！ 2010-11-20 22:42 0
bosket 雪币： 177 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	bosket 16 楼你也是牛人,不可学习.膜BAI. ，又写了个内核级驱动，主要是用来监视它是否释放了文件什么的，用驱动目的就是想在更底层监视它的“鬼迹” 2010-11-21 01:54 0
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 17 楼为什么精华的差别就这么大呢。 2010-11-21 10:43 0
wsliangy 雪币： 14 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	wsliangy 18 楼没看出来此分析报告的亮点。。。难道是最后的最一段，将核心功能加密存储成单个文件，然后作为资源载入？ 2010-11-21 17:17 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 19 楼先留言在看原创 2010-11-22 11:22 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 20 楼经典，V大现在dll劫持还能过360不？ 2010-11-22 13:23 0
nopop 雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	nopop 21 楼嗯嗯，好文标记~ 2010-11-23 20:23 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 22 楼一看到VB代码就头疼 2010-11-24 05:47 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 23 楼同楼上对于我这种没接触过VB的人来说反汇编出来的东西真是令人蛋疼 2010-11-24 19:20 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 24 楼虽然不懂，但感觉核心的功能代码还是没有分析，哈哈！！！ 2010-11-24 20:49 0
咪···WC 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 354 粉丝 0 关注私信	咪···WC 25 楼呵呵·······顶下！拿来看看！ 2010-11-24 22:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

YangCoCol

发帖

111

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 142 关注私信	熊猫正正 9 2 楼先看看再留言~~ 2010-11-19 19:11 0
aiie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	aiie 3 楼学习下分析.. 2010-11-19 19:49 0
大嘴呀呀雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	大嘴呀呀 4 楼不知所云…… 2010-11-19 20:10 0
风间仁雪币： 29253 活跃值： (7784) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 83 关注私信	风间仁 19 5 楼太猛了。还特地写了个驱动监视 2010-11-19 20:44 0
newtonlove 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	newtonlove 6 楼强烈学习一下 2010-11-19 21:42 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼话说，这玩意貌似不给力啊， **木马第一条：要过360~ 2010-11-20 09:03 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 8 楼下来分析谢谢 2010-11-20 09:49 0
lixupeng 雪币： 563 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 9 楼学习下 2010-11-20 10:01 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 10 楼原来是VB的！ 2010-11-20 10:01 0
黑色刺客雪币： 0 活跃值： (329) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 117 粉丝 1 关注私信	黑色刺客 11 楼呵,附件的大小是亮点 2010-11-20 17:43 0
whydbg 雪币： 1432 活跃值： (3072) 能力值： ( LV9，RANK：156 ) 在线值：发帖 0 回帖 104 粉丝 1 关注私信	whydbg 12 楼学习一下 . 2010-11-20 19:50 0
小菜鸟一雪币： 1155 活跃值： (4247) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 13 楼强帖留名123 2010-11-20 20:38 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 14 楼 wocao,这真是俄罗斯黑客写的?感觉随便一个用vb的小朋友都能做哇 2010-11-20 21:23 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 15 楼不懂，其实楼主并没有分析明白！！！ 2010-11-20 22:42 0
bosket 雪币： 177 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	bosket 16 楼你也是牛人,不可学习.膜BAI. ，又写了个内核级驱动，主要是用来监视它是否释放了文件什么的，用驱动目的就是想在更底层监视它的“鬼迹” 2010-11-21 01:54 0
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 17 楼为什么精华的差别就这么大呢。 2010-11-21 10:43 0
wsliangy 雪币： 14 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	wsliangy 18 楼没看出来此分析报告的亮点。。。难道是最后的最一段，将核心功能加密存储成单个文件，然后作为资源载入？ 2010-11-21 17:17 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 19 楼先留言在看原创 2010-11-22 11:22 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 20 楼经典，V大现在dll劫持还能过360不？ 2010-11-22 13:23 0
nopop 雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	nopop 21 楼嗯嗯，好文标记~ 2010-11-23 20:23 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 22 楼一看到VB代码就头疼 2010-11-24 05:47 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 23 楼同楼上对于我这种没接触过VB的人来说反汇编出来的东西真是令人蛋疼 2010-11-24 19:20 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 24 楼虽然不懂，但感觉核心的功能代码还是没有分析，哈哈！！！ 2010-11-24 20:49 0
咪···WC 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 354 粉丝 0 关注私信	咪···WC 25 楼呵呵·······顶下！拿来看看！ 2010-11-24 22:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复