[注意]就是它,干掉了我的瑞星2008-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
墮落雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 203 粉丝 0 关注私信	墮落 2 楼对于高手来说想干掉瑞星比吃饭都简单。 2008-3-28 12:22 0
GGGG 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 116 粉丝 0 关注私信	GGGG 3 楼是控制你电脑的人干的 2008-3-28 12:42 0
蚊香雪币： 557 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 460 粉丝 0 关注私信	蚊香 3 4 楼 DLL额牛人上 2008-3-28 13:16 0
jinyh 雪币： 312 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 54 粉丝 0 关注私信	jinyh 5 楼此应该为一个后门程序,非常隐蔽!若不是看到RISING变成黄色,很难被发现! 2008-3-28 23:44 0
xym 雪币： 6839 活跃值： (3719) 能力值： ( LV13，RANK：1650 ) 在线值：发帖 41 回帖 68 粉丝 32 关注私信	xym 4 6 楼瑞星的主程序随便替换 2008-3-29 00:24 0
山南水北雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	山南水北 7 楼能不能停掉监控但是显示不出任何异常的方法？ 2008-3-29 08:24 0
coding 雪币： 347 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	coding 1 8 楼这壳容易脱，脱了再说！ 003C1913 > $ 57 push edi ;<---看esp:0x6f8e8 003C1914 . 73 06 jnb short hiniun.003C191C 003C1916 . 81FF F5E0853F cmp edi,3F85E0F5 003C191C > 5F pop edi 003C191D . 52 push edx 003C191E . 4A dec edx 003C191F . 5A pop edx 003C1920 . 7F 04 jg short hiniun.003C1926 ;所以我们在0x6f8ec下硬件断点，F9，走~~ 003C13EF 5B pop ebx 003C13F0 5A pop edx 003C13F1 83C4 08 add esp,8 003C13F4 894C24 04 mov dword ptr ss:[esp+4],ecx 003C13F8 - FFE0 jmp eax ; hiniun_1.100115C3 ;停在0x3c13f8这行，看见没，jmp eax，其实是jmp oep，F8进去 100115C3 55 push ebp ;<-----good,这就是我们想要的 100115C4 8BEC mov ebp,esp 100115C6 53 push ebx 100115C7 8B5D 08 mov ebx,dword ptr ss:[ebp+8] 100115CA 56 push esi 100115CB 8B75 0C mov esi,dword ptr ss:[ebp+C] 100115CE 57 push edi 在地址100115c3处，表动噢~拿出你喜欢的工具dump出来，我喜欢PeEditor。Dump出来的文件保存一下，叫hinium_body.dll。有了本体，就可以开始下一步了：分析该木马的行为。下一篇再写吧。 2008-3-29 11:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

墮落

雪币： 209

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

203

粉丝

0

关注

私信

墮落: 2 楼

对于高手来说想干掉瑞星比吃饭都简单。

2008-3-28 12:22

0

GGGG

雪币： 202

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

19

回帖

116

粉丝

0

关注

私信

GGGG: 3 楼

是控制你电脑的人干的

2008-3-28 12:42

0

蚊香

雪币： 557

活跃值： (10)

能力值：

( LV8，RANK：130 )

在线值：

发帖

10

回帖

460

粉丝

0

关注

私信

蚊香 3: 4 楼

DLL额牛人上

2008-3-28 13:16

0

jinyh

雪币： 312

活跃值： (27)

能力值：

( LV2，RANK：10 )

在线值：

发帖

4

回帖

54

粉丝

0

关注

私信

jinyh: 5 楼

此应该为一个后门程序,非常隐蔽!若不是看到RISING变成黄色,很难被发现!

2008-3-28 23:44

0

xym

雪币： 6839

活跃值： (3719)

能力值：

( LV13，RANK：1650 )

在线值：

发帖

41

回帖

68

粉丝

32

关注

私信

xym 4: 6 楼

瑞星的主程序随便替换

2008-3-29 00:24

0

山南水北

雪币： 231

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

4

粉丝

0

关注

私信

山南水北: 7 楼

能不能停掉监控但是显示不出任何异常的方法？

2008-3-29 08:24

0

coding

雪币： 347

活跃值： (40)

能力值：

( LV4，RANK：50 )

在线值：

发帖

5

回帖

43

粉丝

0

关注

私信

coding 1: 8 楼

这壳容易脱，脱了再说！

003C1913    > $  57                     push edi                            ;<---看esp:0x6f8e8
003C1914    .  73 06                    jnb short hiniun.003C191C
003C1916    .  81FF F5E0853F     cmp edi,3F85E0F5
003C191C    > 5F                         pop edi
003C191D    .  52                         push edx
003C191E    .  4A                         dec edx
003C191F    .  5A                         pop edx
003C1920    .  7F 04                    jg short hiniun.003C1926

;所以我们在0x6f8ec下硬件断点，F9，走~~

003C13EF     5B                           pop ebx
003C13F0     5A                           pop edx
003C13F1     83C4 08                  add esp,8
003C13F4     894C24 04              mov dword ptr ss:[esp+4],ecx
003C13F8   - FFE0                       jmp eax                           ; hiniun_1.100115C3

;停在0x3c13f8这行，看见没，jmp eax，其实是jmp oep，F8进去

100115C3     55                  push ebp                 ;<-----good,这就是我们想要的 
100115C4     8BEC                mov ebp,esp
100115C6     53                  push ebx
100115C7     8B5D 08             mov ebx,dword ptr ss:[ebp+8]
100115CA     56                  push esi
100115CB     8B75 0C             mov esi,dword ptr ss:[ebp+C]
100115CE     57                  push edi

在地址100115c3处，表动噢~拿出你喜欢的工具dump出来，我喜欢PeEditor。Dump出来的文件保存一下，叫hinium_body.dll。有了本体，就可以开始下一步了：分析该木马的行为。

下一篇再写吧。

2008-3-29 11:13

0

[旧帖] [注意]就是它,干掉了我的瑞星2008 0.00雪花