首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [分享]对一个无提示关360最新5.0版本保险箱病毒的简单分析 0.00雪花
发表于: 2009-2-12 23:14 4330

[旧帖] [分享]对一个无提示关360最新5.0版本保险箱病毒的简单分析 0.00雪花

dayang 活跃值
2009-2-12 23:14
4330
首先声明本人菜鸟,大牛不要骂人!

首先bingdu.exe,运行后
"cmd /c cacls %s /e /p everyone:f"
"cmd /c cacls \"%s\" /e /p everyone:f"
"cmd /c sc config ekrn start= disabled"
"cmd /c taskkill /im ekrn.exe /f"
"cmd /c taskkill /im egui.exe /f"
"cmd /c taskkill /im ScanFrm.exe /f"
然后释放DLL到\\system32\\killkb.dll,用RUNDLL32执行里面的 droqp函数来实现加载RESSDT驱动,创建"\\\\.\\KILLKB"对象,来实现RESSDT功能,
最好是关杀软,下载,释放另一个update.dll,来实现内部网的MS08067漏洞的传播。

有个问题,我测试了一下,在修复掉SSDT的情况下,360保险箱,是不能结束进程的。
而他的程序却可以无提示结束掉最新的保险箱。

用NOTEPAD看了下驱动,发现
ObReferenceObjectByHandle p_stricmp  pPsProcessType RtlInitUnicodeString  ?IofCompleteRequest  IIoDeleteDevice  KIoDeleteSymbolicLink  ZwOpenProcess ?ZwClose ?ZwAssignProcessToJobObject  ?ZwCreateJobObject NZwTerminateJobObject  EKeServiceDescriptorTable  AIoCreateSymbolicLink  8IoCreateDevice  ntoskrnl.exe  h_except_handler3  M KfLowerIrql D KeRaiseIrqlToDpcLevel HAL.dll        
难道是用ZwAssignProcessToJobObject 干进程的?  

解压密码:bingdu

[课程]FART 脱壳王!加量不加价!FART作者讲授!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
zapline
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
记得MJ说过:都驱动了 还有啥干不了
2009-2-12 23:27
0
cvcvxk
雪    币: 8865
活跃值: (2379)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
3
太挫了~~~
作者要看猫X2代怎么弄的~
2009-2-13 08:49
0
dayang
雪    币: 220
活跃值: (701)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
猫X2代怎么弄的?
2009-2-13 14:11
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//