[求助]我学校机房的一个病毒-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 2 楼 http://baike.baidu.com/view/3216518.htm 2012-12-5 13:35 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 3 楼貌似很流行啊。。我的U盘也被感染过。。就是这样的 2012-12-5 13:35 0
黑色morning 雪币： 62 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	黑色morning 4 楼很好，其实我想知道的是autorun.inf的原理和实现方法 2012-12-5 16:25 0
菊花七雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	菊花七 5 楼你用C32Asm十六进制模式看。基本每个符号后面都有00截断符，这个好像是Unicode~这个实现应该不难呗 2012-12-12 12:38 0
cmdxhz 雪币： 1753 活跃值： (840) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 6 楼其实很简单的，微软的这个什么ini，inf都是严格的格式，稍一不慎根本读取不到，在公司抽空给你搞了一下 int _tmain(int argc, _TCHAR* argv[]) { const int bufSize = 2048; char buf[bufSize]={0}; char path[MAX_PATH]={0}; GetFullPathNameA(".\\autorun.inf",MAX_PATH,path,NULL); if(!::GetPrivateProfileStringA("autorun",NULL,NULL,buf,sizeof buf,path)) { cout<<"read file fail !"<<endl; return 0; } fstream fileHand; fileHand.open(".\\xianxing.inf",fstream::in\|fstream::out\|fstream::app); char* tmp; char rebuf[bufSize]={0}; char result[1024]={0}; ::GetPrivateProfileStringA("autorun",buf,"NULL",rebuf,bufSize,path); wsprintfA(result,"%s = %s\n",buf,rebuf); fileHand.write(result,strlen(result)); for (int i=0;i<sizeof(buf) ;i++) { if (buf[i]==0 && buf[i+1]==0) { break; } if (buf[i]==0) { tmp = &buf[i+1]; ::GetPrivateProfileStringA("autorun",tmp,"NULL",rebuf,bufSize,path); wsprintfA(result,"%s = %s\n",buf,rebuf); cout<<result<<endl; fileHand.write(result,strlen(result)); } } fileHand.close(); return 0; } 上传的附件： QQ截图20121212135230.png （6.00kb，8次下载） 2012-12-12 13:53 0
cmdxhz 雪币： 1753 活跃值： (840) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 7 楼 AcTION = Open folder to view files AcTION = %syStEmrOot%\sySTEM32\sHELL32.Dll ,4 AcTION = RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn AcTION = 1 这厮就是解析过后的文件 2012-12-12 13:54 0
黑色morning 雪币： 62 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	黑色morning 8 楼后来又看看了那个inf文件才发现就是正常的inf文件多加了些垃圾干扰了。。。。。谢谢啦 2012-12-12 17:53 0
黑色morning 雪币： 62 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	黑色morning 9 楼真的不难，只是刚开始没看清。。。。。。。。 2012-12-12 17:54 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 10 楼竟然编程来读取太出乎意料了 2012-12-15 01:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 2 楼 http://baike.baidu.com/view/3216518.htm 2012-12-5 13:35 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 3 楼貌似很流行啊。。我的U盘也被感染过。。就是这样的 2012-12-5 13:35 0
黑色morning 雪币： 62 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	黑色morning 4 楼很好，其实我想知道的是autorun.inf的原理和实现方法 2012-12-5 16:25 0
菊花七雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	菊花七 5 楼你用C32Asm十六进制模式看。基本每个符号后面都有00截断符，这个好像是Unicode~这个实现应该不难呗 2012-12-12 12:38 0
cmdxhz 雪币： 1753 活跃值： (840) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 6 楼其实很简单的，微软的这个什么ini，inf都是严格的格式，稍一不慎根本读取不到，在公司抽空给你搞了一下 int _tmain(int argc, _TCHAR* argv[]) { const int bufSize = 2048; char buf[bufSize]={0}; char path[MAX_PATH]={0}; GetFullPathNameA(".\\autorun.inf",MAX_PATH,path,NULL); if(!::GetPrivateProfileStringA("autorun",NULL,NULL,buf,sizeof buf,path)) { cout<<"read file fail !"<<endl; return 0; } fstream fileHand; fileHand.open(".\\xianxing.inf",fstream::in\|fstream::out\|fstream::app); char* tmp; char rebuf[bufSize]={0}; char result[1024]={0}; ::GetPrivateProfileStringA("autorun",buf,"NULL",rebuf,bufSize,path); wsprintfA(result,"%s = %s\n",buf,rebuf); fileHand.write(result,strlen(result)); for (int i=0;i<sizeof(buf) ;i++) { if (buf[i]==0 && buf[i+1]==0) { break; } if (buf[i]==0) { tmp = &buf[i+1]; ::GetPrivateProfileStringA("autorun",tmp,"NULL",rebuf,bufSize,path); wsprintfA(result,"%s = %s\n",buf,rebuf); cout<<result<<endl; fileHand.write(result,strlen(result)); } } fileHand.close(); return 0; } 上传的附件： QQ截图20121212135230.png （6.00kb，8次下载） 2012-12-12 13:53 0
cmdxhz 雪币： 1753 活跃值： (840) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 7 楼 AcTION = Open folder to view files AcTION = %syStEmrOot%\sySTEM32\sHELL32.Dll ,4 AcTION = RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn AcTION = 1 这厮就是解析过后的文件 2012-12-12 13:54 0
黑色morning 雪币： 62 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	黑色morning 8 楼后来又看看了那个inf文件才发现就是正常的inf文件多加了些垃圾干扰了。。。。。谢谢啦 2012-12-12 17:53 0
黑色morning 雪币： 62 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	黑色morning 9 楼真的不难，只是刚开始没看清。。。。。。。。 2012-12-12 17:54 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 10 楼竟然编程来读取太出乎意料了 2012-12-15 01:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复