首页
社区
课程
招聘
[己解决]请大家帮忙分析一下这个程序是被什么捆绑了的?
发表于: 2008-1-12 21:20 6296

[己解决]请大家帮忙分析一下这个程序是被什么捆绑了的?

2008-1-12 21:20
6296
【求助】请大家帮忙分析一下这个程序是被什么捆绑了的?
不知道这个是被什么捆绑了,翻电脑的时候看到一个程序图标颜色不对劲,
运行看看。。。随知道在当前目录释放了一个temp2.exe
发现有鬼,用监视文件工具看了一下,
把我VC++编译的DEBUG目录下的程序全部感染了。。。
查毒杀不出来,。。。。郁闷的狠,
貌似是什么捆绑东西,在“Local Settings\Temp”目录下狂新建文件和删除文件
好像都在感染文件。。。。
解压密码  help
请在虚拟机运行。。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
2
,周一上班看看
2008-1-12 23:57
0
雪    币: 230
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
阴险的东西
2008-1-13 07:00
0
雪    币: 243
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
OD能运行么??
2008-1-13 09:33
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
5
用16进制工具打开,转到Overlay部分,就是偏移14C000处,可以看到一下内容:

0014c000h: 4E 42 31 30 00 00 00 00 42 BD 80 47 01 00 00 00 ; NB10....B絸G....
0014c010h: 45 3A 5C CA D5 B2 D8 B4 FA C2 EB 5C BA DA C9 AB ; E:\收藏代码\黑色
0014c020h: BC BC CA F5 C8 E4 B3 E6 CF C2 D4 D8 D5 DF 5B CD ; 技术蠕虫下载者[?
0014c030h: EA D5 FB D4 B4 C2 EB 5D 5C 62 69 6E 64 53 72 63 ; 暾绰隴\bindSrc
0014c040h: 5C 62 69 6E 64 5C 44 65 62 75 67 5C 41 6C 6C 50 ; \bind\Debug\AllP
0014c050h: 57 44 2E 70 64 62 00 4D 5A                      ; WD.pdb.MZ

从偏移 14C057 处的那个“MZ”开始,一直复制到文件尾,保存为exe文件,自己分析这个吧。
上面16进制数据中的中文是“E:\收藏代码\黑色技术蠕虫下载者[完整源码]\bindSrc\bind\Debug\AllPWD.pdb”。
刚才baidu了一下,这个“黑色技术蠕虫下载者”网上是可以下到源码的。
2008-1-13 11:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
的确阴险
完毕
2008-1-13 17:55
0
雪    币: 82
活跃值: (622)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
谢谢版主。
可能是以前在邪八下的教主的代码。。
记得有段时间了。难道还埋伏在我的电脑里。。。
2008-1-13 18:43
0
游客
登录 | 注册 方可回帖
返回
//