[原创]最新机器狗变种分析gr.exe-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]最新机器狗变种分析gr.exe

2009-1-21 09:51 24980

[原创]最新机器狗变种分析gr.exe

冷血书生

2009-1-21 09:51

24980

查看主题内容

收藏・13

点赞・7

打赏

最新回复 (53) ◀ 1 2 3 ▶
wanmeicpl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wanmeicpl 2009-1-27 13:08 26 楼 0 我是看的非常晕
wanmeicpl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wanmeicpl 2009-1-27 16:56 27 楼 0 一片茫然种啊
emtv 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	emtv 2009-1-28 20:38 28 楼 0 不懂啊,晕,我什么时候也能样你这样
zhupf 雪币： 306 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 100 粉丝 0 关注私信	zhupf 2009-1-30 16:53 29 楼 0 我已经中毒了好象.
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1635 粉丝 0 关注私信	lixupeng 2009-1-30 22:27 30 楼 0 学习下
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 221 粉丝 0 关注私信	dayed 1 2009-1-31 00:28 31 楼 0 [QUOTE=dayang;568210]int __cdecl sub_41671E() { HANDLE v0; // eax@1 void *v1; // edi@1 CHAR ExistingFileName; // [sp+8h] [bp-108h]@1 DWORD BytesReturned; // [...[/QUOTE] 解密回去干嘛，又不是不能用
劳伦半世雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	劳伦半世 2009-1-31 03:51 32 楼 0 直接膜拜。啥也看不懂。
dttom 雪币： 479 活跃值： (25) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	dttom 3 2009-2-1 15:00 33 楼 0 谢谢分享，学习了
dayang 雪币： 220 活跃值： (626) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2009-2-1 22:46 34 楼 0 貌似感染了CTFMON。EXE吧，输入法不能用了，失败！
lumengyang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	lumengyang 2009-2-2 14:06 35 楼 0 ............顶了
kidnapper 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	kidnapper 2009-2-2 22:10 36 楼 0 强大，很。。。。。。
piratelzs 雪币： 236 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 2009-2-2 23:12 37 楼 0 机器狗一般是病毒还是壳，貌似和外挂有联系。
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 255 粉丝 0 关注私信	panti 2009-2-11 15:51 38 楼 0 崇拜冷血，我是你最忠诚的FANS
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 398 粉丝 0 关注私信	boainfall 2009-2-11 16:25 39 楼 0 今天也看了这个样本，加密的地方太多了，而且加密的方法也有好多种，真能折腾
wcnmdmm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	wcnmdmm 2009-2-11 19:54 40 楼 0 seg001:00415E71 push offset aOlojvssfysgvqn ; "防蕉}ol様YS儌QNLI>px6kfrhYX P_Y" seg001:00415E76 call sub_414FA0 ; 解密call，解密后为http://tongji1.ac5566.cn/getmac.asp 上面这两段，知道了参数，再调用解密函数进行解密，最后解密的结果请问有没有什么工具能够直接显示出来？
lankerr 雪币： 246 活跃值： (81) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 155 粉丝 1 关注私信	lankerr 2009-2-12 00:56 41 楼 0 明天打印来慢慢学...
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 2009-2-12 17:16 42 楼 0 金山是什么猫X病毒，360报的是X牛病毒。
万爱可雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	万爱可 2009-2-13 12:50 43 楼 0 没有看明白，新手
kang 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	kang 2009-5-27 02:36 44 楼 0 最重点的部分没有分析，穿透还原的原理呢？
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 4 关注私信	moonife 8 2009-5-27 10:50 45 楼 0 这个还是比较强的说
骚包雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	骚包 2009-5-27 18:39 46 楼 0 学习一下。。。
asmbulls 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 65 粉丝 0 关注私信	asmbulls 2009-9-24 16:49 47 楼 0 谢谢分享！好好学习。。。。
lengxiaoya 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	lengxiaoya 2009-10-8 12:16 48 楼 0 虽然看的不是很懂，但还是支持下
liuheqiang 雪币： 199 活跃值： (72) 能力值： ( LV7，RANK：110 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	liuheqiang 2 2009-10-8 17:55 49 楼 0 书生的东西得支持一下啊分析的够辛苦的
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 2009-10-8 18:35 50 楼 0 怎么去分析这病毒啊中了这病毒之后电脑运行奇慢根本做不了什么
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

冷血书生

发帖

1132

回帖

1140

RANK

关注

私信

他的文章

[原创]从执行流程看shellcode（一）[附源代码]

[原创]AV终结者新变种

[原创]最新机器狗变种分析gr.exe

[原创]NSDownLoader25 Vip20081130分析

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
wanmeicpl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wanmeicpl 2009-1-27 13:08 26 楼 0 我是看的非常晕
wanmeicpl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wanmeicpl 2009-1-27 16:56 27 楼 0 一片茫然种啊
emtv 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	emtv 2009-1-28 20:38 28 楼 0 不懂啊,晕,我什么时候也能样你这样
zhupf 雪币： 306 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 100 粉丝 0 关注私信	zhupf 2009-1-30 16:53 29 楼 0 我已经中毒了好象.
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1635 粉丝 0 关注私信	lixupeng 2009-1-30 22:27 30 楼 0 学习下
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 221 粉丝 0 关注私信	dayed 1 2009-1-31 00:28 31 楼 0 [QUOTE=dayang;568210]int __cdecl sub_41671E() { HANDLE v0; // eax@1 void *v1; // edi@1 CHAR ExistingFileName; // [sp+8h] [bp-108h]@1 DWORD BytesReturned; // [...[/QUOTE] 解密回去干嘛，又不是不能用
劳伦半世雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	劳伦半世 2009-1-31 03:51 32 楼 0 直接膜拜。啥也看不懂。
dttom 雪币： 479 活跃值： (25) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	dttom 3 2009-2-1 15:00 33 楼 0 谢谢分享，学习了
dayang 雪币： 220 活跃值： (626) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2009-2-1 22:46 34 楼 0 貌似感染了CTFMON。EXE吧，输入法不能用了，失败！
lumengyang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	lumengyang 2009-2-2 14:06 35 楼 0 ............顶了
kidnapper 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	kidnapper 2009-2-2 22:10 36 楼 0 强大，很。。。。。。
piratelzs 雪币： 236 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 2009-2-2 23:12 37 楼 0 机器狗一般是病毒还是壳，貌似和外挂有联系。
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 255 粉丝 0 关注私信	panti 2009-2-11 15:51 38 楼 0 崇拜冷血，我是你最忠诚的FANS
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 398 粉丝 0 关注私信	boainfall 2009-2-11 16:25 39 楼 0 今天也看了这个样本，加密的地方太多了，而且加密的方法也有好多种，真能折腾
wcnmdmm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	wcnmdmm 2009-2-11 19:54 40 楼 0 seg001:00415E71 push offset aOlojvssfysgvqn ; "防蕉}ol様YS儌QNLI>px6kfrhYX P_Y" seg001:00415E76 call sub_414FA0 ; 解密call，解密后为http://tongji1.ac5566.cn/getmac.asp 上面这两段，知道了参数，再调用解密函数进行解密，最后解密的结果请问有没有什么工具能够直接显示出来？
lankerr 雪币： 246 活跃值： (81) 能力值： ( LV3，RANK：30 ) 在线值：发帖 35 回帖 155 粉丝 1 关注私信	lankerr 2009-2-12 00:56 41 楼 0 明天打印来慢慢学...
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 2009-2-12 17:16 42 楼 0 金山是什么猫X病毒，360报的是X牛病毒。
万爱可雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	万爱可 2009-2-13 12:50 43 楼 0 没有看明白，新手
kang 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	kang 2009-5-27 02:36 44 楼 0 最重点的部分没有分析，穿透还原的原理呢？
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 4 关注私信	moonife 8 2009-5-27 10:50 45 楼 0 这个还是比较强的说
骚包雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	骚包 2009-5-27 18:39 46 楼 0 学习一下。。。
asmbulls 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 65 粉丝 0 关注私信	asmbulls 2009-9-24 16:49 47 楼 0 谢谢分享！好好学习。。。。
lengxiaoya 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	lengxiaoya 2009-10-8 12:16 48 楼 0 虽然看的不是很懂，但还是支持下
liuheqiang 雪币： 199 活跃值： (72) 能力值： ( LV7，RANK：110 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	liuheqiang 2 2009-10-8 17:55 49 楼 0 书生的东西得支持一下啊分析的够辛苦的
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 2009-10-8 18:35 50 楼 0 怎么去分析这病毒啊中了这病毒之后电脑运行奇慢根本做不了什么
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复