http://bbs.pediy.com/showthread.php?t=94609 这个帖子中提到的是一个Agent类型的木马,它运行时会释放两个驱动程序,一个新版的机器狗代码,一个是利用PspTerminateProcess来结束进程的驱动,然后到http://0519qq.cn/ceshi/qq.txt下载这个木马列表 http://0519qq.cn/zzx/qq1.exe http://0519qq.cn/zzx/qq2.exe http://0519qq.cn/zzx/qq4.exe http://0519qq.cn/zzx/qq5.exe http://0519qq.cn/zzx/qq6.exe http://0519qq.cn/zzx/qq7.exe http://0519qq.cn/zzx/qq8.exe http://0519qq.cn/zzx/qq9.exe http://0519qq.cn/zzx/qq10.exe http://0519qq.cn/zzx/qq11.exe http://0519qq.cn/zzx/qq12.exe http://0519qq.cn/zzx/qq13.exe http://0519qq.cn/zzx/qq14.exe http://0519qq.cn/zzx/qq16.exe http://0519qq.cn/zzx/qq15.exe http://0519qq.cn/zzx/qq17.exe http://0519qq.cn/zzx/qq18.exe http://0519qq.cn/zzx/qq19.exe http://0519qq.cn/zzx/qq20.exe http://0519qq.cn/zzx/qq21.exe http://0519qq.cn/zzx/qq22.exe (链接现在依然有效) 我将机器狗的代码逆向了一下,附件中是逆向得到的代码。ANTI代码被注释掉了,搜索ANTI即可 它只覆盖C:\WINDOWS\explorer.exe。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)