首页
社区
课程
招聘
[原创]第三阶段第一题分析+解决
发表于: 2007-9-19 15:42 14063

[原创]第三阶段第一题分析+解决

ccfer 活跃值
16
2007-9-19 15:42
14063

病毒分析文档
病毒分析.txt
杀毒源代码及编译好的程序,代码写的较差,测试样本有限,可能有bug
不敢保证查杀完全正确。
kvx.rar

下面是一个感染了病毒的notepad.exe,为了安全请在虚拟机里测试
该样本感染时做了处理,使它以后只能感染某些文件名:VXME*.VXE
解压密码:vir
VXMEPAD.rar


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (22)
雪    币: 217
活跃值: (91)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
沙发一次
2007-9-19 15:57
0
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
原来可以这样写。。早知道我也把我的注释贴出来了搞成文档了。。
2007-9-19 16:02
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
高兴  高兴
2007-9-19 16:13
0
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
高兴  高兴
2007-9-19 16:19
0
雪    币: 1969
活跃值: (46)
能力值: (RANK:550 )
在线值:
发帖
回帖
粉丝
6
学习  

BTW:马甲真牛 马甲真多 马甲一家亲
2007-9-19 16:21
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
彪悍的注释不需要代码
2007-9-19 16:29
0
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
学习,很彪悍。。。
2007-9-19 16:34
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
9
变形   变形
2007-9-19 16:46
0
雪    币: 263
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
虚伪  虚伪
2007-9-19 16:46
0
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
你没写文档?
2007-9-19 16:46
0
雪    币: 242
活跃值: (1664)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
12
虚伪的人都是高手
2007-9-19 17:08
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
13
大牛浮出了水面         
2007-9-19 17:41
0
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
14
loc_3614AE:     push    esp
                        push    edi
                        call    ss:_Process32Next[ebp]                  ;遍历进程
                        test    eax, eax
                        jz      short loc_361520
                        inc     esi
                        cmp     esi, 4                                  ;每4个进程感染一个
                        jb      short loc_3614AE

我怎么认为这里是把前4个系统进程不感染,winlogon的时候感染并建立线程,后面的进程全部感染。
2007-9-19 17:59
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
Script1.rc

IDD_MSTEST DIALOG DISCARDABLE 100, 100, 218, 82
STYLE DS_MODALFRAME | WS_POPUP | WS_CAPTION | WS_SYSMENU
CAPTION "Keygen by ccfer"
FONT 9, "宋体"
BEGIN
DEFPUSHBUTTON "注册",ID_GEN,135,7,53,15
EDITTEXT IDC_EDIT_NAME,45,7,75,14,ES_AUTOHSCROLL
EDITTEXT IDC_EDIT_CODE,45,31,166,44,ES_MULTILINE | WS_VSCROLL
LTEXT "用户名",IDC_STATIC1,6,7,33,8
LTEXT "注册码",IDC_STATIC4,6,30,33,8
END


高兴  高兴
2007-9-19 18:05
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
16
我搞错了,你说的对,是前4个系统进程不感染。
winlogon什么意思我还是不懂
2007-9-19 18:15
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
17
做第一题九连环时的垃圾都留在里面的
2007-9-19 18:16
0
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
18
插入远程线程关闭文件保护,因为打开系统文件时WINDOWS文件保护会自动调出来,
这里在winlogon中调用sfc.dll 2号函数关闭它.
2007-9-19 18:27
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
19
意思就是winlogon不可能是第5或第6个?
2007-9-19 18:57
0
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
20
貌似winlogon.exe始终是第4个,这应该是系统引导时创建进程的固定顺序.
2007-9-19 19:05
0
雪    币: 1829
活跃值: (1377)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
21
学习 学习 学习
2007-9-20 02:42
0
雪    币: 82
活跃值: (531)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
厉害~~
金山高级工程师有你这么厉害不  
High   High  High
2007-9-20 08:11
0
雪    币: 112
活跃值: (16)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
23
[QUOTE=;]...[/QUOTE]
好贴!
一定得顶上去!
学习!
2007-11-23 17:35
0
游客
登录 | 注册 方可回帖
返回
//