首页
社区
课程
招聘
我特别好奇某些开发者电脑里到底有多少种病毒?
发表于: 2021-9-9 06:37 17531

我特别好奇某些开发者电脑里到底有多少种病毒?

2021-9-9 06:37
17531

需要说明的是

我是内核岗

不是逆向岗

我逆向水平奇菜无比 喷之前先考虑下方向问题


更新:

经过讨论后...这东西到底是不是病毒木马不清楚...但是行为巨像



正文:

今天隔壁某破解站给我号封了 我发不了贴...所以先发到看雪 解封的话就带过去 不解封那就这样了

深夜看锻刀大赛 结果看到4点钟睡不着了

群友也全睡了 只能一个人逛逛论坛

然后在某不正经论坛看到了这样一个帖子

(下面这张图是人家发帖的时候就这样给故意带上的截图 不是我拼接的啊...上面敏感信息太多不能截图)

???

什么意思

下海了???

他的论坛ID就叫 猪会被杀掉

我赶紧截图发给朋友 然而没用全睡觉了

我就点进去看了看他的帖子

卧槽真下海啊?

只能说是抱着好奇的态度把第一个帖子里面的驱动下了下来

然后我就发现不太对劲了

这个cm.c一开始我以为是个C语言调用例子

结果我发现这玩意被隐藏了

一时间有点慌 以为中招 不会是7z的什么洞吧?一解压或者一打开就直接杀穿

但是转头一想 这些目录我都给封的死死的了 一点权限都没给开 应该也不能杀穿我才对

好家伙1.5M 而且是MZ开头的.c文件

这尼玛忽悠鬼呢?

我虚拟机有易语言环境 但是版本非常低 不过还是正常打开了文件

里面代码大概长这个样子 看起来非常正常

跑起来的话 就有问题了 我提前打开了pch和processhacker

我总感觉哪里不太对劲...

稍微修改了一下代码

我只是调试运行并没有点击任何东西 但是processhacker提醒我有驱动加载

即便我改成这样 我想要的弹框或者调试输出依旧没有 但驱动还是能正常加载

不过删除那句进程ID的代码以后 驱动就不会加载了 很奇怪

看不懂易语言的我解释一下 正常来说 是根本不会有代码运行的

并且明明前面那句代码还没跑 后面的代码自顾自的跑起来了

我放个早起的群大佬回复


我水平不太好 完全搞不懂这玩意是怎么跑起来的

这算是利用漏洞定向钓鱼么?

不太清楚 群友都睡了 问也不知道该问谁去

我只能先尝试给驱动抓出来了

本来还带着镜像保存的驱动上场 结果人家压根没想删除

驱动和服务名称每次都是随机的 释放在易语言temp目录下

IDA走你

感觉不太对 尺寸不太对

果然带壳子 这个体积看来应该是变异 并且没有打开保护导入表

从导入函数上看 的确是个普普通通的读写驱动...

目测读写方式是attach+rtlcopymemory

签名很接地气

驱动应该是个正常驱动 但是那个以MZ开头的.c文件我总觉得不太对劲

看不明白 有没有大佬能解释下为啥这个DLL能加载起来? 无论是调试运行还是编译出来运行 这个DLL都会加载

去掉那句代码就不会了

虽然想不明白 但是也只能IDA冲一下了

DLL看起来像是个"正经读写驱动"

然后我就看见了这个玩意

我艹大哥你是认真的啊?

不是究竟要怎么编译才能给自己的QQ号编译进去啊...

大哥很聪明 0年的小号

但是接下来的操作就让我有点搞不懂了...这东西起了一次http连接

为了验证不是我虚拟机易语言版本有问题被人下过东西

我特意把那个1.5M的C语言源码注入到了另外一个进程中

结果还是一样带http访问

嘶....

我把IP拿到360威胁情报中心去对比了一下 样本对不上 或许不是第一次作案了

下面那个地址访问了什么我是不敢乱点的

只能跑去开Wireshark抓包

抓完看了一下结构 普通get 拿到在线http请求测试发个包看看

似乎没什么可疑的东西 下面是个百度的代码统计Js

把这个域名放到奇安信威胁情报中心搜了一下

顺便一提 虽然我一直觉得我老东家不太行 但是这威胁情报真的比360那个好用

请问科技集团是舍不得开接口么?这边建议学习下企业安全集团

然后搜出来这个邮箱和企业

先查企业

这旗下域名是真多啊...而且这域名讲真很"正经"

按照我的推测 这个投资人跟实际干这个人的无关 大概率是个李鬼


至于这个 先社一波再说

1994年8月22日

反正还能继续往下查 但是没啥意义 所以我停了

至于"猪会被杀掉"

大概率是被拿来镇场子的 即便真下海 也应该不会明目张胆的暴露自己才对 不过我并不认识他本人 身边倒是很多人认识

至于SYS里面应该是没什么东西的 而且加壳了 不逆

虽然DLL没加 但是F5老出错 不会逆了 也没兴趣看里面到底写啥了...

唯独好奇的是这到底是什么漏洞还是BUG 能让哪条易语言代码莫名其妙的跑起来 还是说易语言并不是我想象中的那样运行的


最后还是回应群主要求宣传一下内核群:https://github.com/DragonQuestHero/WindowsKernelPrivateSymbolsDump

群里20年以上内核工作经验巨佬一名 十年以上安全岗经验大佬若干 0经验在校学生也有 逆向岗也有 渗透岗虽然少但也有

群成员90人左右 氛围极其和谐!


最后样本上传 有懂的可以研究下 群大佬万一有啥研究了我到时候回来更新



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2023-3-29 01:15 被章鱼C编辑 ,原因:
上传的附件:
收藏
免费 1
支持
分享
最新回复 (33)
雪    币: 168
活跃值: (265)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
手动顶一下,海水很深,某海比较臭,我以前还去看现在都不去了,17年~至今无数的各种木马后门
2021-9-9 06:57
0
雪    币: 206
活跃值: (2589)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
代码狗 手动顶一下,海水很深,某海比较臭,我以前还去看现在都不去了,17年~至今无数的各种木马后门
里面的老哥长的又帅 说话又好听 我超喜欢里面的
2021-9-9 06:58
0
雪    币: 3811
活跃值: (2174)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
易语言也就是调用了一下驱动~目前用易语言写驱动的不多
2021-9-9 08:17
0
雪    币: 2325
活跃值: (2304)
能力值: ( LV6,RANK:89 )
在线值:
发帖
回帖
粉丝
5
很多大手子会把qq编译到ec里,这是"玩网络"的传统艺能.
ec好像可以直接转源码,之前模块加固也被破解了,不知道有没有修复了
2021-9-9 08:53
0
雪    币: 7379
活跃值: (4086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
代码里不是有个类方丈_驱动cisool吗,应该是加载驱动的代码写在这个类的初始化代码里了,这不难理解啊,按钮那个功能应该只是和驱动通信传递进程PID的吧
2021-9-9 09:50
1
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
7
很喜欢盖哥的一句话:“无需安装驱动”
2021-9-9 11:05
0
雪    币: 451
活跃值: (519)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
以前被搞过  源码带模块带图片那些基本上不运行  要不就虚拟机
2021-9-9 12:35
0
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
Cm.c不就是个驱动sys吗?只是文件后缀改成了.c
然后那个方丈的接口不就是加载驱动的吗?
2021-9-9 13:31
0
雪    币: 206
活跃值: (2589)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
htpidk 代码里不是有个类方丈_驱动cisool吗,应该是加载驱动的代码写在这个类的初始化代码里了,这不难理解啊,按钮那个功能应该只是和驱动通信传递进程PID的吧

今早起来问了一下 的确如此!

最后于 2021-9-9 14:34 被章鱼C编辑 ,原因:
2021-9-9 14:19
0
雪    币: 206
活跃值: (2589)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
11
yy虫子yy Cm.c不就是个驱动sys吗?只是文件后缀改成了.c 然后那个方丈的接口不就是加载驱动的吗?
是个DLL
2021-9-9 14:19
0
雪    币: 0
活跃值: (113)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
账号名相同不能说明什么吧, 讨论技术就讨论技术, 帖子这么写, 跟诽谤差不多了. gh的论坛截图跟csdn的放一起, 还以为是csdn的论坛帖子, 搜了一圈才发现, 其实这俩图之间根本就没关系.
2021-9-9 14:28
0
雪    币: 206
活跃值: (2589)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
13
LawrenceLee 账号名相同不能说明什么吧, 讨论技术就讨论技术, 帖子这么写, 跟诽谤差不多了. gh的论坛截图跟csdn的放一起, 还以为是csdn的论坛帖子, 搜了一圈才发现, 其实这俩图之间根本就没关系.
我不是在最后写的很清楚了我的分析么...
2021-9-9 15:58
0
雪    币: 6
活跃值: (3290)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
章鱼C 我不是在最后写的很清楚了我的分析么...
只能说你怀疑易语言论坛里面那个中文名字是看雪论坛里面的zhuhuibeishadiao ,但有具体证据吗? 看过zhuhuibeishadiao 的很多文章,分享了很多技术以及源码,你别乱诬陷人
2021-9-9 16:24
0
雪    币: 12502
活跃值: (3053)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
估计不是一个人吧,这里的@猪会被杀掉 好像是研究技术的,不干这种事。
2021-9-9 18:17
0
雪    币: 407
活跃值: (1816)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
应该不是同一个人,csdn里面的猪会被杀掉,是研究技术了,分享了蛮多有用的东西
2021-9-9 18:43
0
雪    币: 206
活跃值: (2589)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
17
咖啡_741298 只能说你怀疑易语言论坛里面那个中文名字是看雪论坛里面的zhuhuibeishadiao ,但有具体证据吗? 看过zhuhuibeishadiao 的很多文章,分享了很多技术以及源码,你别乱诬陷人
你可以放心的@他过来质问我 随时欢迎
2021-9-9 20:53
0
雪    币: 206
活跃值: (2589)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
18
LawrenceLee 账号名相同不能说明什么吧, 讨论技术就讨论技术, 帖子这么写, 跟诽谤差不多了. gh的论坛截图跟csdn的放一起, 还以为是csdn的论坛帖子, 搜了一圈才发现, 其实这俩图之间根本就没关系.
那是论坛的原图 人家自己放的
2021-9-9 20:56
0
雪    币: 6124
活跃值: (4661)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
19

关于“易语言作者电脑里到底有多少种病毒”这件事,我想我是有一定的发言权的、

以前看过许多“辅助软件”的样本,也中过几次招,最严重的一次是OD一挂上去,我屏幕就黑了,一看C盘已经空了,显然是被格了,当然是虚拟机,这属于比较恶劣的情况,随着法律法规的日趋完善这种东西基本已经见不到了。

但是在易语言大手子和易语言“辅助软件”使用者之间流传一个很神奇的病毒,它就是“rmnet感染病毒”,其起源已经不可考了,该病毒能够迅速感染你电脑上的pe文件和html文件并释放一个远控,其流行成程度呢,大概90%左右的易语言大手子和他们的用户的电脑里常驻,这就是大家最需要预防的病毒,其余的病毒清除起来都没这个麻烦,所以大手子发你的文件你先看下区段是否正常,切勿直接在物理机点开,这是血的教训、






2021-9-9 21:20
0
雪    币: 3577
活跃值: (3961)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
不明真相的群众来看看。
2021-9-10 08:01
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
21
黑洛 关于“易语言作者电脑里到底有多少种病毒”这件事,我想我是有一定的发言权的、以前看过许多“辅助软件”的样本,也中过几次招,最严重的一次是OD一挂上去,我屏幕就黑了,一看C盘已经空了,显然是被格了,当然是 ...
典中典之xxx.exe.cache
2021-9-10 10:03
0
雪    币: 2325
活跃值: (2304)
能力值: ( LV6,RANK:89 )
在线值:
发帖
回帖
粉丝
22
hzqst 典中典之xxx.exe.cache
大表哥说的对,一开始我还寻思现在还有人用delphi写外挂.
原来还是个易大手子
2021-9-10 10:16
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
23

@zhuhuibeishadiao

2021-9-10 10:49
0
雪    币: 6124
活跃值: (4661)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
24
hzqst 典中典之xxx.exe.cache
_cache_xxxx.exe我记得现在是这样
2021-9-10 20:13
0
雪    币: 229
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
25
水太深
2021-9-17 15:54
0
游客
登录 | 注册 方可回帖
返回
//