能力值:
( LV7,RANK:100 )
|
-
-
2 楼
无语...最近驱动垃圾层出不穷.估计都是在一个基础上改的.
|
能力值:
( LV7,RANK:100 )
|
-
-
3 楼
新版的windows好像对驱动的加载严格了许多
试试System Safety Monitor也许能帮你找到安装的插件位置
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
不是很懂,支持下!
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
这就是木马。谁心贪去下就谁中。中了活该!
|
能力值:
( LV4,RANK:50 )
|
-
-
6 楼
PolyEnE 0.01+ by Lennart Hedlund [Overlay]
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
最初由 swordkok 发布 PolyEnE 0.01+ by Lennart Hedlund [Overlay] 请问怎么脱了它。。。
用winupacker脱壳机后用PEiD查了又是Microsoft C++
郁闷啊。。中了它
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
最初由 凌翔 发布 请问怎么脱了它。。。
用winupacker脱壳机后用PEiD查了又是Microsoft C++
郁闷啊。。中了它
再用脱壳机脱一次即可
|
能力值:
( LV12,RANK:410 )
|
-
-
9 楼
流氓软件别乱发
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
这么久都没人搞定啊?哎,郁闷了
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
不知道老大是在求动西还是在这里做广告,写的那么好,估计也不是什么真实的东西!
|
能力值:
( LV12,RANK:2670 )
|
-
-
12 楼
Address Disassembly Text String
0040104B push 0040BA50 \
0040106F push 0040BA44 delme.bat
0040107D push 0040B0CC jdwin.exe
004010E6 push 0040BA38 @echo off\n\n
0040111B push 0040BA2C :selfkill\n\n
00401145 push 0040BA20 del /f /q "
0040119B push 0040BA1C "\n\n
004011BF push 0040BA10 if exist "
0040121B push 0040B9FC " goto selfkill\n\n
00401245 push 0040B9F0 del %0\n\n
004012CB mov esi, 0040BA50 \
004012E3 push 0040B4DC jdwin.dll
00401314 push 0040B5E0 jdwin.exe
0040134D push 00403010 mzkernel32.dll
00401376 push 0040B6E4 winlogon.exe
00401414 push 0040B3D8 jdwinie
004014D1 mov esi, 0040ADC0 jdwinie
004014F6 mov edi, 0040B0CC jdwin.exe
00401502 mov ebx, 0040BA78 .exe
00401514 mov esi, 0040B1D0 jdtwin.exe
00401520 push 0040BA74 t
00401538 mov ebx, 0040B2D4 jdwinie
00401548 push 0040B3D8 jdwinie
00401559 push 0040B4DC jdwin.dll
00401563 push 0040BA6C .dll
00401568 push 0040B4DC jdwin.dll
0040157C push 0040B8EC 为系统提供加速启动功能(d-sp1)。
004015EC push 0040BA60 -service
00401603 mov dword ptr [ebp-14], 0040B3D8 jdwinie
0040162B push 0040BA54 -service
00401644 push 0040B8EC 为系统提供加速启动功能(d-sp1)。
0040164A mov esi, 0040B3D8 jdwinie
004016C6 push 0040BA50 \
00401840 push 0040BA80 c:\
004018C7 push 0040BA84 %x
0040196F push 0040BAE4 system\currentcontrolset\services\
0040199C mov esi, 0040BAD8 description
00401A77 push 0040BACC displayname
00401A9A push 0040BABC errorcontrol
00401AAE push 0040BAB0 imagepath
00401AB9 push 0040BAA4 localsystem
00401AC4 push 0040BA98 objectname
00401AD7 push 0040BA90 start
00401AED push 0040BA88 type
00401B88 push 0040BB08 sedebugprivilege
00401BE9 push 0040BB28 loadlibrarya
00401BEE push 0040BB1C kernel32
00401C30 mov esi, 0040BB7C unknownprocess
00401C4C mov esi, 0040BB70 psapi.dll
00401C7E push 0040BB60 enumprocesses
00401C86 push 0040BB4C enumprocessmodules
00401C90 push 0040BB38 getmodulebasenamea
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
我可以负责地讲一句,楼主就是一个天天放木马盗QQ之类的SB
|
能力值:
( LV3,RANK:20 )
|
-
-
14 楼
里边还有一层
wjdWinIe
jdWinIeB
jdWinIe
jdWin.exe
jdTWin.exe
jdWinIe
jdWinIe
jdWin.dll
jdWin.exe
winlogon.exe
explorer.exe
为系统提供加速启动功能(d-sp1)。
Software\Microsoft\Internet Explorer\New Windows
PopupMgr
no
Button
&Next >
#32770
Alexa Toolbar Setup
\alexasp1.exe
SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{69A72A8A-84ED-4a75-8CE7-263DBEF3E5D3}
Compatibility Flags
\AlxTB1.dll
ShowUI
DoReport
SOFTWARE\Microsoft\Windows NT
ReportBootOk
SYSTEM\CurrentControlSet\Services\ERSvc
SOFTWARE\Microsoft\PCHealth\ErrorReporting
open
Iexplore.exe
iexplore.exe
dsffdsg12q.st
&ver=
?mac=
mecount
filename
file
SOFTWARE\Microsoft\Internet Explorer\Main
Start Page
about:blank
startpage
msg
taobao
uc
popo
qq
im
fileurl
alexa
addrpop
popwinb
popwina
desktop
title
count
favorites
updatetimer
timer
updsffdsg1.exe
url
S_err
update
ver
dsffdsg1.st
/jdupdate.asp
/jdupdate.txt
dsffdsg22.st
&type=jdwin&url=
popwin
updsffdsg2.exe
dsffdsg2.st
/update.asp
/update.txt
upda1te.web
upda2tebak.web
mrsx3*)wgyroi&0<>4&jjk
icwconn1.exe
-service
InternetShortcut
URL
DEFAULT
BASEURL
.url
%2.2X-%2.2X-%2.2X-%2.2X-%2.2X-%2.2X
UuidCreateSequential
rpcrt4.dll
winlogon.exe
\Media\
.DLL
.EXE
rb
发送(S)
RichEdit20A
RICHEDIT
AfxWnd42
- 发送消息
聊天中
NETEASE POPO UniformMsgWnd
CutePhoto
-对话
BrowserPanel
TRichEdit2
TUCButton
发送(&S)
MainPanel
TPanel
聊天
加为淘友
的对话
c:\
kernel32
LoadLibraryA
SeDebugPrivilege
SYSTEM\CurrentControlSet\Services\
ntsd.exe
ntsd -c q -p
ntsd
SYSTEM
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
最初由 tobby 发布 我可以负责地讲一句,楼主就是一个天天放木马盗QQ之类的SB
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
用不着这么出口伤人吧?
我不过是想研究这个插件 实现驱动级隐藏的部分,
骂我SB的人,估计你还认为现在玩木马都很弱智吧?
请你也让我见识见识一下,写一个出来我看看
|
能力值:
( LV3,RANK:20 )
|
-
-
17 楼
骂你的人,应该是和这个木马有关系,呵呵
驱动级隐藏,在那里,我怎么没有看到,呵呵
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
不知道到底是不是驱动级的,我朋友这么说的~~
看这个东西确实挺牛的,
我问了几个高手都搞不定
所以才来看雪找高手研究的
我是想学习这个东西的原理和行为
何必一听说"木马"两个字就害怕呢?
我想这些东西对于高手们来说都是玩具一样的东西吧?
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
最初由 KuNgBiM 发布 [CODE]Address Disassembly Text String 0040104B push 0040BA50 \ 0040106F push 0040BA44 delme.bat 0040107D push 0040B0CC jdwin.exe 004010E6 push 0040BA38 @echo off\n\n ........ 他的壳怎么那么奇怪?
PEiD核心扫描结果:First Publisher Graphics format *
用Unpack脱壳方法竟然可以脱..但载入OD却显示
"格式错误或格式未知"
停留在ntdll模块...
大家试一下脱壳
|
|
|