[分享][分享]再爆猛料无视360注入EXP写启动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 2 楼 mark.楼主是从哪弄那么多样本。。。 2013-4-2 21:11 0
xwfz 雪币： 33 能力值： (RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	xwfz 3 楼游戏里面的. 2013-4-2 21:21 0
safeboy 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	safeboy 4 楼目测要火，坐等楼下大牛分析 2013-4-2 21:33 0
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 5 楼某些杀软只判断了EXE有数字签名就加入白名单了所以悲剧了。这个就是利用了一个正规数字签名的程序替换掉了动态调用的DLL 然后在DLL里做手脚 .. 2013-4-2 21:57 0
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 6 楼 IP地址: 119.135.71.229 来自: 广东省湛江市电信 2013-4-2 22:20 0
HOWMP 雪币： 2509 活跃值： (2328) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 7 楼典型的白加黑 exe是360的签名程序，程序本身加载了MiniUI.dll. GetModuleFileNameW(0, &pszDir, 0x400u); PathRemoveFileSpecW(&pszDir); for ( i = 0; i < dword_44FE60; ++i ) PathRemoveFileSpecW(&pszDir); PathCombineW(&pszDir, &pszDir, L"MiniUI.dll"); hModule = LoadLibraryW(&pszDir); MiniUI复制一套程序到Program Files文件下， 1000243C 并从JPG中读取真正的图片文件background.bmp，shell打开然后再次启动Program里的exe。第二次启动的exe，写注册表自启 hModule = LoadLibraryA("ADVAPI32.dll"); RegCreateKeyExA = GetProcAddress(hModule, "RegCreateKeyExA"); RegSetValueExA = GetProcAddress(hModule, "RegSetValueExA"); v8 = GetProcAddress(hModule, "RegCloseKey"); ((void (__stdcall )(signed int, _DWORD, _DWORD, _DWORD, _DWORD, signed int, _DWORD, int , char ))RegCreateKeyExA)( -2147483647, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, "REG_SZ", 0, 983103, 0, &v4, &v6); v2 = strlen(Str); ((void (__stdcall )(int, _DWORD, _DWORD, signed int, const char *, unsigned int))RegSetValueExA)( v4, "360DrvMgr", 0, 1, Str, v2 + 1); 这个自启之所以能过360，两点很重要。一是exe是360的签名程序。二是Dll是免杀的。 2013-4-2 22:45 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 8 楼这类程序很多啊（有数字签名但是加载dll可以被劫持的），这样打包好的数字签名程序+恶意dll确实可以做一些坏事~~ 2013-4-2 22:45 0
xwfz 雪币： 33 能力值： (RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	xwfz 9 楼上面分析错了这个值得学习的是他写注册注入。不要老认为是白加黑白加黑都被360搞残了爆菊花了费了能过360写入启动不是因为签名原因而是因为注入EXP系统进程了自己跑跑就知道不解释别F5 2013-4-2 22:51 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 10 楼我记得只要被添加启动的程序有签名+执行添加操作的程序呦签名就可以过360添加自启动 2013-4-2 22:53 0
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 11 楼哪有什么注入就是个内存运行打包的exe VirtualAlloc VirtualProtect VirtualFree 写注册表启动不提示就是因为数字签名 2013-4-2 22:57 0
xwfz 雪币： 33 能力值： (RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	xwfz 12 楼哎坐等牛人把你们还是不要评论了都没自己运行运行以后打开你C盘(我的是在C盘,也可能在你的系统盘)看下 2013-4-2 23:00 0
HOWMP 雪币： 2509 活跃值： (2328) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 13 楼上传的附件： QQ截图20130402230126.png （14.84kb，73次下载） 2013-4-2 23:03 0
xwfz 雪币： 33 能力值： (RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	xwfz 14 楼另外我系统是XP sp2 2013-4-2 23:05 0
adners 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	adners 15 楼我比较关心里面那个JPG 427KB。。。 2013-4-3 00:20 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 16 楼自己的工具不用跑就报！ 2013-5-16 09:12 0
ydydq 雪币： 191 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	ydydq 17 楼看了楼主的分析..真的不错啊...学习了 2013-5-17 09:45 0
bbzwj 雪币： 9 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	bbzwj 18 楼这个是近期木马的典型，有代表性 2013-5-31 09:32 0
徐凤年雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	徐凤年 19 楼你用的工具是什么啊？给个链接？ 2014-3-10 11:35 0
high 雪币： 201 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	high 20 楼 [QUOTE=HOWMP;1160976] [/QUOTE] 图片显示结果是用什么工具分析的？另:有样本吗?给发一个？？ 2014-3-19 10:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 2 楼 mark.楼主是从哪弄那么多样本。。。 2013-4-2 21:11 0
xwfz 雪币： 33 能力值： (RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	xwfz 3 楼游戏里面的. 2013-4-2 21:21 0
safeboy 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	safeboy 4 楼目测要火，坐等楼下大牛分析 2013-4-2 21:33 0
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 5 楼某些杀软只判断了EXE有数字签名就加入白名单了所以悲剧了。这个就是利用了一个正规数字签名的程序替换掉了动态调用的DLL 然后在DLL里做手脚 .. 2013-4-2 21:57 0
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 6 楼 IP地址: 119.135.71.229 来自: 广东省湛江市电信 2013-4-2 22:20 0
HOWMP 雪币： 2509 活跃值： (2328) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 7 楼典型的白加黑 exe是360的签名程序，程序本身加载了MiniUI.dll. GetModuleFileNameW(0, &pszDir, 0x400u); PathRemoveFileSpecW(&pszDir); for ( i = 0; i < dword_44FE60; ++i ) PathRemoveFileSpecW(&pszDir); PathCombineW(&pszDir, &pszDir, L"MiniUI.dll"); hModule = LoadLibraryW(&pszDir); MiniUI复制一套程序到Program Files文件下， 1000243C 并从JPG中读取真正的图片文件background.bmp，shell打开然后再次启动Program里的exe。第二次启动的exe，写注册表自启 hModule = LoadLibraryA("ADVAPI32.dll"); RegCreateKeyExA = GetProcAddress(hModule, "RegCreateKeyExA"); RegSetValueExA = GetProcAddress(hModule, "RegSetValueExA"); v8 = GetProcAddress(hModule, "RegCloseKey"); ((void (__stdcall )(signed int, _DWORD, _DWORD, _DWORD, _DWORD, signed int, _DWORD, int , char ))RegCreateKeyExA)( -2147483647, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, "REG_SZ", 0, 983103, 0, &v4, &v6); v2 = strlen(Str); ((void (__stdcall )(int, _DWORD, _DWORD, signed int, const char *, unsigned int))RegSetValueExA)( v4, "360DrvMgr", 0, 1, Str, v2 + 1); 这个自启之所以能过360，两点很重要。一是exe是360的签名程序。二是Dll是免杀的。 2013-4-2 22:45 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 8 楼这类程序很多啊（有数字签名但是加载dll可以被劫持的），这样打包好的数字签名程序+恶意dll确实可以做一些坏事~~ 2013-4-2 22:45 0
xwfz 雪币： 33 能力值： (RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	xwfz 9 楼上面分析错了这个值得学习的是他写注册注入。不要老认为是白加黑白加黑都被360搞残了爆菊花了费了能过360写入启动不是因为签名原因而是因为注入EXP系统进程了自己跑跑就知道不解释别F5 2013-4-2 22:51 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 10 楼我记得只要被添加启动的程序有签名+执行添加操作的程序呦签名就可以过360添加自启动 2013-4-2 22:53 0
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 11 楼哪有什么注入就是个内存运行打包的exe VirtualAlloc VirtualProtect VirtualFree 写注册表启动不提示就是因为数字签名 2013-4-2 22:57 0
xwfz 雪币： 33 能力值： (RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	xwfz 12 楼哎坐等牛人把你们还是不要评论了都没自己运行运行以后打开你C盘(我的是在C盘,也可能在你的系统盘)看下 2013-4-2 23:00 0
HOWMP 雪币： 2509 活跃值： (2328) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 13 楼上传的附件： QQ截图20130402230126.png （14.84kb，73次下载） 2013-4-2 23:03 0
xwfz 雪币： 33 能力值： (RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	xwfz 14 楼另外我系统是XP sp2 2013-4-2 23:05 0
adners 雪币： 168 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	adners 15 楼我比较关心里面那个JPG 427KB。。。 2013-4-3 00:20 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 16 楼自己的工具不用跑就报！ 2013-5-16 09:12 0
ydydq 雪币： 191 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	ydydq 17 楼看了楼主的分析..真的不错啊...学习了 2013-5-17 09:45 0
bbzwj 雪币： 9 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	bbzwj 18 楼这个是近期木马的典型，有代表性 2013-5-31 09:32 0
徐凤年雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	徐凤年 19 楼你用的工具是什么啊？给个链接？ 2014-3-10 11:35 0
high 雪币： 201 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	high 20 楼 [QUOTE=HOWMP;1160976] [/QUOTE] 图片显示结果是用什么工具分析的？另:有样本吗?给发一个？？ 2014-3-19 10:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复