首页
社区
课程
招聘
[原创]sysmanager.exe逆向分析
发表于: 2011-7-15 20:23 9994

[原创]sysmanager.exe逆向分析

2011-7-15 20:23
9994

这几天不知道为啥子电脑速度特别慢,而且有些网页打开后就直接将浏览器关闭了,搞得我很郁闷.用杀毒软件查杀,结果啥都没查出来...于是很纠结,还是手动杀毒比较靠谱...因为这些网页打开的都有些破解,逆向等字眼,所以就怀疑它是根据关键字来进行工作的,于是新建了一个“逆向破 解.txt”,用记事本打开,果然:一打开它就关闭了,换editplus打开,结果还是一样,而换了文件名打开就正常了.
      因为对于每个进程都会产生这种情况,所以初步怀疑是dll注入,可对照两个进程的dll,除了系统的dll,貌似也没啥子问题,而注入系统dll的可能性不大,所以还是另寻他法吧。
     将电脑在安全模式下打开,观察进程列表,然后电脑正常模式下打开,观察进程列表,然后再进行一个一个排除。           
      经过反复的测试,确定是sysmanager.exe文件的问题,关闭进程,结果能正常运行。结果百度了下该进程,果然是个病毒木马程序,然后清理注册表,删除程序,ok,杀毒完毕!!!
     本来到这里都应该结束了,但是一时也没啥事干,而且这东西搞得我郁闷无比!!!所以还是决定分析下。
    PEiD查壳:Microsoft Visual C++ 6.0
    这是一个好消息,接着就IDA + OD进行分析吧.


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (6)
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
2
StartServiceCtrlDispatcher只是个服务程序相关的函数而已,跟文件监控啥的真没关系。。。
2011-7-15 20:26
0
雪    币: 173
活跃值: (132)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
3
向它这样的关键字过滤呢?不是也挺不错的嘛
2011-7-15 20:48
0
雪    币: 270
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
关键字过滤其实就是枚举+比较然后操作。没什么特点,至于StartServiceCtrlDispatcher如教主所说就是一个简单的服务控制操作函数而已~
2011-7-25 12:15
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
能中这样的木马,真有你的了
2011-7-25 20:42
0
雪    币: 173
活跃值: (132)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
6
调试个小玩意,谁知里面有这东西....囧的
2011-7-28 20:50
0
雪    币: 632
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
7
求bin,想看下,分析下..上bin吧..
2011-9-6 15:10
0
游客
登录 | 注册 方可回帖
返回
//