过360驱动防火墙[已关闭]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (28) ◀ 1 2
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 26 楼我觉得这年头还是直接到山区捐款比较靠谱，要是捐给某某会被用来买兰博基尼、玛莎拉蒂咱可伤不起…… 2011-7-3 12:09 0
XPoy 雪币： 242 活跃值： (463) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 27 楼切，不是还有sendkey给taskmgr，新建任务，启动病毒的么。貌似UIWImport安装证书这么纠结的东西，你们不拦截吧~ 这二个料还是有时效的啊。我也跟在大牛身后沾点光，工商U盾的那个autorun也是很好玩的，还没用过呢。 :P 还有一个和rundll32类似的系统文件时搜到的东西，要处理下系统版本才能用来执行东西，不过除了单纯的木马没什么用的。想起来了相关的东西: 可以用来Hosting DLL的AppList DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE 其实最麻烦的应该还是移动文件，疯用一通的样本，好像都没有很好的处理掉的，特别是那种移动时还改乱从记事本这种PE文件里复制花指令字节的。最后，现在杀远控，最根本的做法其实还是把非系统的服务列出来，再进行服务是否可疑的判断就行了吧。很多免杀高手都不知道ServerMain直接作为CreateThread的地址就可以的。 :P 2011-7-3 15:10 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 28 楼早被和谐咯！ 2011-7-3 23:00 0
KuGong 雪币： 274 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	KuGong 29 楼马瑞卡！马瑞卡！ 2011-7-5 21:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (28) ◀ 1 2
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 26 楼我觉得这年头还是直接到山区捐款比较靠谱，要是捐给某某会被用来买兰博基尼、玛莎拉蒂咱可伤不起…… 2011-7-3 12:09 0
XPoy 雪币： 242 活跃值： (463) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 27 楼切，不是还有sendkey给taskmgr，新建任务，启动病毒的么。貌似UIWImport安装证书这么纠结的东西，你们不拦截吧~ 这二个料还是有时效的啊。我也跟在大牛身后沾点光，工商U盾的那个autorun也是很好玩的，还没用过呢。 :P 还有一个和rundll32类似的系统文件时搜到的东西，要处理下系统版本才能用来执行东西，不过除了单纯的木马没什么用的。想起来了相关的东西: 可以用来Hosting DLL的AppList DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE 其实最麻烦的应该还是移动文件，疯用一通的样本，好像都没有很好的处理掉的，特别是那种移动时还改乱从记事本这种PE文件里复制花指令字节的。最后，现在杀远控，最根本的做法其实还是把非系统的服务列出来，再进行服务是否可疑的判断就行了吧。很多免杀高手都不知道ServerMain直接作为CreateThread的地址就可以的。 :P 2011-7-3 15:10 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 28 楼早被和谐咯！ 2011-7-3 23:00 0
KuGong 雪币： 274 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	KuGong 29 楼马瑞卡！马瑞卡！ 2011-7-5 21:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复