首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]一个可疑的自启DLL,求分析。
发表于: 2014-5-26 00:54 5367

[求助]一个可疑的自启DLL,求分析。

yhan 活跃值
2014-5-26 00:54
5367
有一个启动项通过rundll32运行目录里的Bitkokomap.dll.

这个DLL通过访问指定的微博账号(http://t.qq.com/e1106733228)的资料里的IP地址进行连接通信。

运行后通过任务管理器获取的命令行和process explorer获取的命令行不同,应该是修改PEB了。

求分析。

[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (10)
半斤八兩
雪    币: 223
活跃值: (516)
能力值: ( LV13,RANK:520 )
在线值:
发帖
回帖
粉丝
私信
2
LZ的马塞克没打全. 用户名就是  yhan
2014-5-26 03:24
0
exediy
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
3
不错 ,用是微博做获取地址,这是反弹木马
2014-5-26 04:28
0
foolday
雪    币: 19
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
用不着打全,论坛名就是用户名/
2014-5-26 10:44
0
heiheisha
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
什么情况
2014-5-26 18:24
0
yhan
雪    币: 249
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
好吧,附近把我涂了半天的马赛克都深深地出卖了。倒也无关紧要。

比较好奇的是这个DLL到底做了啥事情。
2014-5-26 20:16
0
毛澤東
雪    币: 53
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
是 (史莱姆病毒) 你中招.好难解决的..出个价格怎么样 500KX
目测是以色列变种III版
2014-5-27 16:29
0
alazif
雪    币: 74
活跃值: (243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
http://bbs.csdn.net/topics/40015073    关于这个的.....

楼上你ID这么叼 冰箱里的腊肉知道么?
2014-5-28 15:46
0
guobing
雪    币: 10558
活跃值: (158)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
木马没商量。。
看编译时间,貌似是近来的,里面那个后门2014年5月18日  ,看上线方式,应该是个gh0st变种
2014-5-28 16:13
0
毛澤東
雪    币: 53
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
楼主不可能处理好——!目测
2014-5-28 22:47
0
毛澤東
雪    币: 53
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
我爱上你了.服务器没有拒绝我的ID说明是 合法 的
2014-5-28 22:49
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//