-
-
烦了,教大家关于如何辨别病毒/后门的技巧
-
发表于:
2004-12-28 19:58
4425
-
1、看体积。一般后门比较小,隐蔽嘛!
2、看Import表。要是你看见有wsock32.dll或wininet.dll什么的,请当心!它为什么要用这个?向外面发你的密码!还有,要是看见平时难得见到的API,比如TlsSetValue什么的,特别是和底层有关的,也要当心。干什么?做线程插入!
3、直接拿记事本看文件内容。如果在文件末尾看见类似Base64的字符串,请当心。一般偷密码的后门什么的为了附加邮箱信息,一般把mail地址变换以后加在文件末尾,看上去象B64。但现在许多xx密码大盗/小偷会先把它加密后做B64,所以惩罚他是没有指望了。
下面,我拿
http://bbs.pediy.com/showthread.php?s=&threadid=9057开刀,顺便练练手脱。
因为有某兄弟的教训,我基本是F7+过一个call就dump一下。
到4113F4就可以看见原来的文件内容了。没什么难的。
这个东西是delphi写的。用peid可以看见有B64的表。还有,可以看见有SMTP命令,这绝对是个偷密码的后门!
再向下,发现有QQ2003/QQ2004字样,偷QQ密码!
下面是从文件里得到的一些字符串,中招的弟兄自己看!
Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Deleteme.bat
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\密码防盗专家 综合版
PasswordGuard.exe
KVFW.EXE
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
RavMon.exe
ZoneAlarm
天网防火墙个人版
天网防火墙企业版
噬菌体
木马克星
SoftWare\Microsoft\Windows\CurrentVersion\Run
还有,它用了RegisterServiceProcess,注册服务!注意到里面有NTdhcp字样,这可能是服务名称!
把自己复制到系统目录下,然后在run中留种。到你开机时,调用RegisterServiceProcess注册自身为服务。
[课程]Android-CTF解题方法汇总!