[求助]关于TDL4 BK在win7 真机64位上挂掉的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于TDL4 BK在win7 真机64位上挂掉的问题

发表于: 2013-1-2 17:13 10214

[求助]关于TDL4 BK在win7 真机64位上挂掉的问题

KMSRussian 活跃值

2013-1-2 17:13

10214

我手里的两个样本 TDL4的全都在真机上挂掉 (不管打不打那个KB补丁 KB2506014 )虚拟机上能跑起来

看了下ldr64的属性

不知道是不是由于由于分区格式化的时候 4KB对齐又由于NTFS文件是分散的

而且ldr64是大于4KB的但是ldr32 是小于4K的所以导致在64位WIN7 上文件被截断

造成OS 启动不起来

希望知道的人回复下

同时求一个真机上不挂掉的TDL4样本

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

快照1.png （6.80kb，1次下载）
快照2.png （8.82kb，1次下载）

收藏・5

免费・0

支持

最新回复 (19)
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 2 楼试一下我逆的这两个怎么样，MaxSS有检测虚拟机的功能啊！TDL4是2012年1月份的样本。 SHA256: 9746b4f684b9d7d346ff131cd024e68d1b06e1b81571ce6d3c5067f0829d7932 SHA1: 6d07cf72201234a07ab57fb3fc00b9e5a0b3678e MD5: a1b3e59ae17ba6f940afaf86485e5907 File size: 127.5 KB ( 130560 bytes ) File name: w.php.exe File type: Win32 EXE 样本介绍：http://contagiodump.blogspot.com/2012/02/purple-haze-bootkit.html （需要代理） http://blog.eset.com/2012/02/02/tdl4-reloaded-purple-haze-all-in-my-brain 上传的附件： MaxSS.rar （501.14kb，92次下载） TDL4.rar （174.69kb，103次下载） 2013-1-2 20:04 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 3 楼哥们是玩病毒的吗？我手里有逆向好的Rovnix（Cidox），已经写好了生成器。想要联系我，QQ:958716364. Rovnix比TDL4厉害多了。 2013-1-2 20:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 4 楼 TDL4在Win7 x64 DVD直接默认格盘安装没问题~ 自己做的基本开机死~ 2013-1-3 00:37 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 5 楼哥们是玩病毒的吗？我手里有逆向好的Rovnix（Cidox），已经写好了生成器。想要联系我，QQ:958716364. Rovnix比TDL4厉害多了。 Rovnix还真没看过你是rovnix的组件都自己逆向写的还是替换了bk的某些组件 jioushizhu方便的话传个你逆向的 Rovnix的样本我也分析下 XPAJ不知道你分析过没 2013-1-3 08:50 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 6 楼 XPAJ感染系统文件，很容易就被发现的。不隐蔽啊！ 2013-1-3 08:56 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 7 楼 XPAJ boot的部分还是值得研究的啊 2013-1-3 10:34 0
erroru 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	erroru 8 楼 TDL4是好东西 2013-1-3 18:45 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 9 楼嗯确实开机死～默认安装的没问题其实在rep movsb的时候做点处理就能不开机死了～话说TDL4和MaxSS都有这个问题～ 2013-1-3 19:01 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 10 楼 64位的rootkit主要在国外有，国内没见过。 Win64/Olmarik（TDL4）；感染MBR 32位/64位 Win64/Olmasco（MaxSS；感染MBR.VBR.创建活动的隐藏分区 32位/64位 Win64/Rovnix/Carberp；感染VBR 32位/64位 Win64/Sirefef（ZeroAccess）；感染驱动.MBR 32位/64位 Win32/Gapz；感染VBR 32位/64位 2013-1-3 19:30 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 11 楼国内主要是没大规模爆发和应用还是有一小撮人用的 2013-1-3 19:51 0
erroru 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	erroru 12 楼 VBR是什么，没GOOGLE到。求解释。 2013-1-4 00:37 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 13 楼 volume boot recorder 2013-1-4 08:39 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 14 楼 VBR就是分区引导记录，位于活动分区的第一扇区。 MBR是硬盘引导记录，位于硬盘开始处的第一扇区。 2013-1-4 08:52 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 15 楼 MBR是硬盘的头不隶属于任何一个OS vbr是分区的头什么NTFS FAT16 FAT32 EXT2 EXT3 EXT4 都有自己的头他们的头都长的不一样 2013-1-4 10:20 0
guobing 雪币： 11242 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 16 楼总结的真全。。。 2013-1-4 11:07 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 17 楼我再补充下上传的附件：快照3.png （160.93kb，13次下载） 2013-1-4 11:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼其实国内的也不少~ 2013-1-5 02:21 0
swordzjj 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	swordzjj 19 楼做个记号，这篇帖子以后会火 2013-1-6 09:41 0
angya 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	angya 20 楼这些国外那些网站论坛有讨论？求网址 2013-4-3 17:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KMSRussian

发帖

287

回帖

360

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 2 楼试一下我逆的这两个怎么样，MaxSS有检测虚拟机的功能啊！TDL4是2012年1月份的样本。 SHA256: 9746b4f684b9d7d346ff131cd024e68d1b06e1b81571ce6d3c5067f0829d7932 SHA1: 6d07cf72201234a07ab57fb3fc00b9e5a0b3678e MD5: a1b3e59ae17ba6f940afaf86485e5907 File size: 127.5 KB ( 130560 bytes ) File name: w.php.exe File type: Win32 EXE 样本介绍：http://contagiodump.blogspot.com/2012/02/purple-haze-bootkit.html （需要代理） http://blog.eset.com/2012/02/02/tdl4-reloaded-purple-haze-all-in-my-brain 上传的附件： MaxSS.rar （501.14kb，92次下载） TDL4.rar （174.69kb，103次下载） 2013-1-2 20:04 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 3 楼哥们是玩病毒的吗？我手里有逆向好的Rovnix（Cidox），已经写好了生成器。想要联系我，QQ:958716364. Rovnix比TDL4厉害多了。 2013-1-2 20:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 4 楼 TDL4在Win7 x64 DVD直接默认格盘安装没问题~ 自己做的基本开机死~ 2013-1-3 00:37 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 5 楼哥们是玩病毒的吗？我手里有逆向好的Rovnix（Cidox），已经写好了生成器。想要联系我，QQ:958716364. Rovnix比TDL4厉害多了。 Rovnix还真没看过你是rovnix的组件都自己逆向写的还是替换了bk的某些组件 jioushizhu方便的话传个你逆向的 Rovnix的样本我也分析下 XPAJ不知道你分析过没 2013-1-3 08:50 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 6 楼 XPAJ感染系统文件，很容易就被发现的。不隐蔽啊！ 2013-1-3 08:56 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 7 楼 XPAJ boot的部分还是值得研究的啊 2013-1-3 10:34 0
erroru 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	erroru 8 楼 TDL4是好东西 2013-1-3 18:45 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 9 楼嗯确实开机死～默认安装的没问题其实在rep movsb的时候做点处理就能不开机死了～话说TDL4和MaxSS都有这个问题～ 2013-1-3 19:01 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 10 楼 64位的rootkit主要在国外有，国内没见过。 Win64/Olmarik（TDL4）；感染MBR 32位/64位 Win64/Olmasco（MaxSS；感染MBR.VBR.创建活动的隐藏分区 32位/64位 Win64/Rovnix/Carberp；感染VBR 32位/64位 Win64/Sirefef（ZeroAccess）；感染驱动.MBR 32位/64位 Win32/Gapz；感染VBR 32位/64位 2013-1-3 19:30 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 11 楼国内主要是没大规模爆发和应用还是有一小撮人用的 2013-1-3 19:51 0
erroru 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	erroru 12 楼 VBR是什么，没GOOGLE到。求解释。 2013-1-4 00:37 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 13 楼 volume boot recorder 2013-1-4 08:39 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 14 楼 VBR就是分区引导记录，位于活动分区的第一扇区。 MBR是硬盘引导记录，位于硬盘开始处的第一扇区。 2013-1-4 08:52 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 15 楼 MBR是硬盘的头不隶属于任何一个OS vbr是分区的头什么NTFS FAT16 FAT32 EXT2 EXT3 EXT4 都有自己的头他们的头都长的不一样 2013-1-4 10:20 0
guobing 雪币： 11242 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 16 楼总结的真全。。。 2013-1-4 11:07 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 17 楼我再补充下上传的附件：快照3.png （160.93kb，13次下载） 2013-1-4 11:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼其实国内的也不少~ 2013-1-5 02:21 0
swordzjj 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	swordzjj 19 楼做个记号，这篇帖子以后会火 2013-1-6 09:41 0
angya 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	angya 20 楼这些国外那些网站论坛有讨论？求网址 2013-4-3 17:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复