-
-
[原创]腾讯2008第三阶段专杀过程思路
-
发表于:
2011-10-3 15:02
8132
-
很简单,分为几个步骤,第一步分析a.EXE得知释放了sys、exe、dll,我们先判断是否中毒了
BOOL SystemState(HWND hWnd)
{
HANDLE Handle=CreateFileA("\\.\\slHBKernel32",GENERIC_READ|GENERIC_WRITE,0,NULL,OPEN_EXISTING,0,NULL);
if(Handle!=INVALID_HANDLE_VALUE)
{
SetWindowText(hWnd,"系统中毒");
}
BOOL Bl=PathFileExistsA("C:\\Windows\\System32\\drivers\\HBKernel32.SYS");
if(Bl!=FALSE)
{
SetWindowText(hWnd,"系统中毒");
}
Bl=PathFileExistsA("C:\\Windows\\System32\\HBQQXX.dll");
if(Bl!=FALSE)
{
SetWindowText(hWnd,"系统中毒");
}
Bl=PathFileExistsA("C:\\Windows\\System32\\System.exe");
if(Bl!=FALSE)
{
SetWindowText(hWnd,"系统中毒");
}
return TRUE;
}
BOOL SetWindowShow(void)
{
HWND hWnd;
hWnd = FindWindow("HBInject32Class", NULL) ;
if(!hWnd)
return FALSE;
ShowWindow(hWnd,SW_SHOW);
EndDialog(hWnd,0);
return TRUE;
}
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
原来滔哥是在搞这个。
