[原创]我贴一个第三阶段和木马驱动无关的ring3方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]我贴一个第三阶段和木马驱动无关的ring3方法

发表于: 2008-11-2 21:10 15601

[原创]我贴一个第三阶段和木马驱动无关的ring3方法

海风月影

2008-11-2 21:10

15601

大家爆，我也爆吧。。。

这个是我第三阶段的第一个ring3方法，没分析驱动就直接用了，试了很好用，不过需要重启

重启前：
找到木马文件对应硬盘上的扇区，直接写扇区破坏木马文件

重启后：
批处理删掉木马尸体和注册表垃圾

重启前的DeleteFileBySection代码见附件
delfile.cpp

#include <windows.h>
#include <stdio.h>
#include "DeleteFileBySection.h"

char szSysdir[MAX_PATH];
char szfile[MAX_PATH];

int main()
{
	CDeleteFileBySection delfile;
	GetSystemDirectory(szSysdir,MAX_PATH);
	strcpy(szfile,szSysdir);
	strcat(szfile,"\\drivers\\HBKernel32.sys");
	if(delfile.DeleteFile(szfile))
		printf("delfile Success! : %s\n\n",szfile);
	else
		printf("delfile Failed! : %s\n\n",szfile);

	strcpy(szfile,szSysdir);
	strcat(szfile,"\\System.exe");
	if(delfile.DeleteFile(szfile))
		printf("delfile Success! : %s\n\n",szfile);
	else
		printf("delfile Failed! : %s\n\n",szfile);

	strcpy(szfile,szSysdir);
	strcat(szfile,"\\HBQQXX.dll");
	if(delfile.DeleteFile(szfile))
		printf("delfile Success! : %s\n\n",szfile);
	else
		printf("delfile Failed! : %s\n\n",szfile);

	printf("Done! Reboot system!\n");
	getchar();
	return 0;
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

DeleteFileBySection.rar （10.76kb，202次下载）

收藏・6

免费・7

支持

最新回复 (19)
dttom 雪币： 479 活跃值： (25) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	dttom 3 2 楼海风大牛，上面这个我在运行的时候，会显示“错误: 命令行参数太多”不知如何实现？ 2008-11-2 21:36 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼命令里面有空格，更新了一下，用引号引起来就可以了顺便把删除改成直接改写成空 2008-11-2 21:46 0
dttom 雪币： 479 活跃值： (25) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	dttom 3 4 楼我试试看，昨天我加引号，怎么也运行不了，后来改成注册表导入。 2008-11-2 22:05 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 5 楼膜拜，真精简阿 2008-11-2 22:09 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼学习学习~~ 2008-11-2 22:14 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 7 楼没有乌龟大师那么强悍的分析能力，只能剑走偏锋了 2008-11-2 22:16 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 8 楼支持海风MM！！！ 2008-11-2 22:17 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼 boot == 0 的driver,闪了文件无法启动的干活~~ 2008-11-2 23:41 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 10 楼学习了..................... 2008-11-2 23:44 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 11 楼没删文件啊，把文件改成了windows不认识的文件而已 2008-11-2 23:45 0
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 12 楼膜拜风月…… 2008-11-3 09:17 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 13 楼还是自家兄弟牛~~~~ 2008-11-3 11:36 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 14 楼快变双胞胎了 2008-11-3 11:45 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 15 楼三胞胎了，还有另一个id 2008-11-3 11:46 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 16 楼流行吗,我看好乌龟大师的头像了 2008-11-3 12:00 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 17 楼这思路牛X 写扇区很邪恶前天MBR给写了，啥也没了 2008-11-3 13:16 0
chimney 雪币： 268 活跃值： (95) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 118 粉丝 0 关注私信	chimney 3 18 楼顶，真精简阿，膜拜下。我看好ccfer大侠的头像！ 2008-11-3 14:11 0
mavermaver 雪币： 141 活跃值： (1135) 能力值： ( LV2，RANK：150 ) 在线值：发帖 47 回帖 362 粉丝 1 关注私信	mavermaver 3 19 楼这大概就是传说中的“文件粉碎机”，全写满恐怕连盘也毁了，威力无比呀。 2008-11-13 21:52 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 20 楼 KAO，还有这么干的。。。。。牛。。 2008-12-12 17:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

海风月影

发帖

2308

回帖

1130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
dttom 雪币： 479 活跃值： (25) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	dttom 3 2 楼海风大牛，上面这个我在运行的时候，会显示“错误: 命令行参数太多”不知如何实现？ 2008-11-2 21:36 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼命令里面有空格，更新了一下，用引号引起来就可以了顺便把删除改成直接改写成空 2008-11-2 21:46 0
dttom 雪币： 479 活跃值： (25) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	dttom 3 4 楼我试试看，昨天我加引号，怎么也运行不了，后来改成注册表导入。 2008-11-2 22:05 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 5 楼膜拜，真精简阿 2008-11-2 22:09 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼学习学习~~ 2008-11-2 22:14 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 7 楼没有乌龟大师那么强悍的分析能力，只能剑走偏锋了 2008-11-2 22:16 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 8 楼支持海风MM！！！ 2008-11-2 22:17 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼 boot == 0 的driver,闪了文件无法启动的干活~~ 2008-11-2 23:41 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 10 楼学习了..................... 2008-11-2 23:44 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 11 楼没删文件啊，把文件改成了windows不认识的文件而已 2008-11-2 23:45 0
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 12 楼膜拜风月…… 2008-11-3 09:17 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 13 楼还是自家兄弟牛~~~~ 2008-11-3 11:36 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 14 楼快变双胞胎了 2008-11-3 11:45 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 15 楼三胞胎了，还有另一个id 2008-11-3 11:46 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 16 楼流行吗,我看好乌龟大师的头像了 2008-11-3 12:00 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 17 楼这思路牛X 写扇区很邪恶前天MBR给写了，啥也没了 2008-11-3 13:16 0
chimney 雪币： 268 活跃值： (95) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 118 粉丝 0 关注私信	chimney 3 18 楼顶，真精简阿，膜拜下。我看好ccfer大侠的头像！ 2008-11-3 14:11 0
mavermaver 雪币： 141 活跃值： (1135) 能力值： ( LV2，RANK：150 ) 在线值：发帖 47 回帖 362 粉丝 1 关注私信	mavermaver 3 19 楼这大概就是传说中的“文件粉碎机”，全写满恐怕连盘也毁了，威力无比呀。 2008-11-13 21:52 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 20 楼 KAO，还有这么干的。。。。。牛。。 2008-12-12 17:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复