能力值:
( LV4,RANK:55 )
|
-
-
2 楼
mark.楼主是从哪弄那么多样本。。。
|
能力值:
(RANK:10 )
|
-
-
3 楼
游戏里面的.
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
目测要火,坐等楼下大牛分析
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
某些杀软只判断了EXE有数字签名就加入白名单了 所以悲剧了。
这个就是利用了一个正规数字签名的程序 替换掉了动态调用的DLL 然后在DLL里做手脚 ..
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
IP地址: 119.135.71.229
来 自: 广东省湛江市 电信
|
能力值:
( LV6,RANK:80 )
|
-
-
7 楼
典型的白加黑
exe是360的签名程序,程序本身加载了MiniUI.dll.
GetModuleFileNameW(0, &pszDir, 0x400u); PathRemoveFileSpecW(&pszDir); for ( i = 0; i < dword_44FE60; ++i ) PathRemoveFileSpecW(&pszDir); PathCombineW(&pszDir, &pszDir, L"MiniUI.dll"); hModule = LoadLibraryW(&pszDir);
MiniUI复制一套程序到Program Files文件下,
1000243C
并从JPG中读取真正的图片文件background.bmp,shell打开
然后再次启动Program里的exe。
第二次启动的exe,写注册表自启
hModule = LoadLibraryA("ADVAPI32.dll"); RegCreateKeyExA = GetProcAddress(hModule, "RegCreateKeyExA"); RegSetValueExA = GetProcAddress(hModule, "RegSetValueExA"); v8 = GetProcAddress(hModule, "RegCloseKey"); ((void (__stdcall *)(signed int, _DWORD, _DWORD, _DWORD, _DWORD, signed int, _DWORD, int *, char *))RegCreateKeyExA)( -2147483647, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, "REG_SZ", 0, 983103, 0, &v4, &v6); v2 = strlen(Str); ((void (__stdcall *)(int, _DWORD, _DWORD, signed int, const char *, unsigned int))RegSetValueExA)( v4, "360DrvMgr", 0, 1, Str, v2 + 1);
这个自启之所以能过360,两点很重要。
一是exe是360的签名程序。二是Dll是免杀的。
|
能力值:
( LV11,RANK:180 )
|
-
-
8 楼
这类程序很多啊(有数字签名但是加载dll可以被劫持的),这样打包好的数字签名程序+恶意dll确实可以做一些坏事~~
|
能力值:
(RANK:10 )
|
-
-
9 楼
上面分析错了 这个值得学习的是他写注册注入。不要老认为是白加黑 白加黑都被360搞残了爆菊花了费了
能过360写入启动不是因为签名原因而是因为注入EXP系统进程了 自己跑跑就知道不解释 别F5
|
能力值:
( LV11,RANK:180 )
|
-
-
10 楼
我记得只要被添加启动的程序有签名+执行添加操作的程序呦签名 就可以过360添加自启动
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
哪有什么注入 就是个内存运行打包的exe
VirtualAlloc
VirtualProtect
VirtualFree
写注册表启动不提示 就是因为数字签名
|
能力值:
(RANK:10 )
|
-
-
12 楼
哎坐等牛人把 你们还是不要评论了都没自己运行 运行以后打开你C盘(我的是在C盘,也可能在你的系统盘)看下
|
能力值:
( LV6,RANK:80 )
|
-
-
13 楼
|
能力值:
(RANK:10 )
|
-
-
14 楼
另外我系统是XP sp2
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
我比较关心里面那个JPG 427KB。。。
|
能力值:
( LV3,RANK:20 )
|
-
-
16 楼
自己的工具不用跑就报!
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
看了楼主的分析..真的不错啊...学习了
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
这个是近期木马的典型,有代表性
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
你用的工具是什么啊?
给个链接?
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
[QUOTE=HOWMP;1160976]
[/QUOTE]
图片显示结果是用什么工具分析的?
另:有样本吗?给发一个??
|
|
|