[原创]一款QQ盗号木马的分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (64) ◀ 1 2 3
traso 雪币： 232 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	traso 51 楼新手跟CCdebuger学调试木马我用eXeSope看了那个DATEINFO 一看前面是熟悉的MZP 几个字符可是我怎么把这个资源文件导出来存到成一个DLL文件? 另外我用OD打开的时候打开文件失败, 之后用W32Dasm.exe打开也无法打开,不过给了个无法打开文件句柄的错误只有用IDA.EXE能打开??? 果然是IDA牛啊不过不知道CCduger是怎么让程序在OD中调试的? 这个ANTI-DEBUG该怎么搞哦? 先自己想想办法 2006-12-12 16:00 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 52 楼那个 DATEINFO 可以用ResScope导出。这个木马没ANTI，OD可以直接载入。 2006-12-12 16:55 0
traso 雪币： 232 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	traso 53 楼同时用多个软件打开这个木马当然会打不开了不过如果一个程序能伪造它已经被使用了,不失为一个ANTI-DEBUG的方法想知道它是在哪里释放出,努力中....... 2006-12-12 18:29 0
glede 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	glede 54 楼楼主好牛，木马制作者太恶心了~ 2006-12-13 01:53 0
icefall 雪币： 154 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 156 粉丝 0 关注私信	icefall 1 55 楼 EAX=00D103E4, (ASCII "1 0 http://www.wzxlj.com/qq/qq.asp username@tom.com smtp.tom.com username password username@tom.com 1 60 1 0 0 1 1 ") 我这个就比较棘手 2006-12-16 10:40 0
nsd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	nsd 56 楼楼主好强,但是这样不好吧,你有机会教训一下就可以了!!! 2006-12-17 18:21 0
xkingx 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	xkingx 57 楼佩服楼主分析的如此详细小菜还要多多学习 2006-12-17 19:40 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 58 楼最初由 playx* 发布* 探测主机：222.180.37.22 服务检测 HTTP->Windows NT 6.1 //windwos2003 服务检测 FTP-> 220 Serv-U FTP Server v6.0 for WinSock ready... 检测 Port-> 222.180.37.22 端口 21 [ftp] 开放 ...OK 检测 Port-> 222.180.37.22 端口 80 [http] 开放 ...OK ........ 应该是虚拟主机 2006-12-17 20:30 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 59 楼把机器配置搞好了在虚拟机里也来玩玩分析马~~ 2006-12-17 20:41 0
qianyicy 雪币： 228 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 95 粉丝 0 关注私信	qianyicy 3 60 楼用16进制查看一下附加数据，典型是个 EXE 文件，把附加数据保存为 test.exe 我想问下:这一部是怎么弄的?用winhex? 2007-5-19 18:29 0
xsqhlf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	xsqhlf 61 楼向楼主学习学习！！ 2007-5-19 20:20 0
凌风秋渡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	凌风秋渡 62 楼厉害的木马，怎么严防才是目标啊，无处不在的木马，怎么查杀呢？ 2007-5-19 20:44 0
Steve 雪币： 239 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 58 粉丝 0 关注私信	Steve 1 63 楼不知道楼主整个分析过程花了多少时间？ 2007-5-21 00:03 0
tydzjing 雪币： 9431 活跃值： (3835) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 1 关注私信	tydzjing 64 楼只能怪他的个人信息太详细了 2007-5-21 19:33 0
flydeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	flydeng 65 楼谢谢楼主的分析，长知识。 2007-5-22 07:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (64) ◀ 1 2 3
traso 雪币： 232 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	traso 51 楼新手跟CCdebuger学调试木马我用eXeSope看了那个DATEINFO 一看前面是熟悉的MZP 几个字符可是我怎么把这个资源文件导出来存到成一个DLL文件? 另外我用OD打开的时候打开文件失败, 之后用W32Dasm.exe打开也无法打开,不过给了个无法打开文件句柄的错误只有用IDA.EXE能打开??? 果然是IDA牛啊不过不知道CCduger是怎么让程序在OD中调试的? 这个ANTI-DEBUG该怎么搞哦? 先自己想想办法 2006-12-12 16:00 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 52 楼那个 DATEINFO 可以用ResScope导出。这个木马没ANTI，OD可以直接载入。 2006-12-12 16:55 0
traso 雪币： 232 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	traso 53 楼同时用多个软件打开这个木马当然会打不开了不过如果一个程序能伪造它已经被使用了,不失为一个ANTI-DEBUG的方法想知道它是在哪里释放出,努力中....... 2006-12-12 18:29 0
glede 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	glede 54 楼楼主好牛，木马制作者太恶心了~ 2006-12-13 01:53 0
icefall 雪币： 154 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 156 粉丝 0 关注私信	icefall 1 55 楼 EAX=00D103E4, (ASCII "1 0 http://www.wzxlj.com/qq/qq.asp username@tom.com smtp.tom.com username password username@tom.com 1 60 1 0 0 1 1 ") 我这个就比较棘手 2006-12-16 10:40 0
nsd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	nsd 56 楼楼主好强,但是这样不好吧,你有机会教训一下就可以了!!! 2006-12-17 18:21 0
xkingx 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	xkingx 57 楼佩服楼主分析的如此详细小菜还要多多学习 2006-12-17 19:40 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 58 楼最初由 playx* 发布* 探测主机：222.180.37.22 服务检测 HTTP->Windows NT 6.1 //windwos2003 服务检测 FTP-> 220 Serv-U FTP Server v6.0 for WinSock ready... 检测 Port-> 222.180.37.22 端口 21 [ftp] 开放 ...OK 检测 Port-> 222.180.37.22 端口 80 [http] 开放 ...OK ........ 应该是虚拟主机 2006-12-17 20:30 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 59 楼把机器配置搞好了在虚拟机里也来玩玩分析马~~ 2006-12-17 20:41 0
qianyicy 雪币： 228 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 95 粉丝 0 关注私信	qianyicy 3 60 楼用16进制查看一下附加数据，典型是个 EXE 文件，把附加数据保存为 test.exe 我想问下:这一部是怎么弄的?用winhex? 2007-5-19 18:29 0
xsqhlf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	xsqhlf 61 楼向楼主学习学习！！ 2007-5-19 20:20 0
凌风秋渡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	凌风秋渡 62 楼厉害的木马，怎么严防才是目标啊，无处不在的木马，怎么查杀呢？ 2007-5-19 20:44 0
Steve 雪币： 239 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 58 粉丝 0 关注私信	Steve 1 63 楼不知道楼主整个分析过程花了多少时间？ 2007-5-21 00:03 0
tydzjing 雪币： 9431 活跃值： (3835) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 1 关注私信	tydzjing 64 楼只能怪他的个人信息太详细了 2007-5-21 19:33 0
flydeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	flydeng 65 楼谢谢楼主的分析，长知识。 2007-5-22 07:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复