昊情· 发表于 2016-6-10 00:09:10

小小细节 理解该程序如可实现指定功能

用VB写一个简单的关机程序 当作病毒主要功能恶意关机,。。。就当病毒木马吧。


开启 安全软件监控

双击运行病毒程序
HIPS提示


说明该文件带有病毒行为(火绒剑分析略过)


利用反编译查看是如可运作的

用IDA 可能很麻烦 http://www.ithao123.cn/content-2147717.html 看了这篇文章 (不要跟我说你没学过编程。。。。)大家都知道吧

用OD

如可找出相关位置,,这个不用我说了吧,下断点或者查字符串什么的。。




在401931开始一直运行 复现了病毒的行为。

401931 401936 VB用vbastrcat把字符串链接起来就等于我们写代码的时候Shell "cmd.exe /c" & "shutdown -s -t 20"
就等于在系统 运行 输入代码一样。

401954 VB用rtcshell调用CMD



就这样我们摸清他们的套路了~~~有兴趣可以搞个专杀 提取特征码什么的、自己百度去~

紫色的地方不懂的话请看下这里http://www.ithao123.cn/content-2147717.html





睡觉(~﹃~)~zZ了




wilist 发表于 2016-6-10 01:27:28

非常感谢

ayang 发表于 2016-6-10 05:24:36

云游者 发表于 2016-6-10 06:39:33

支持中国红客联盟(ihonker.org)

wuyan 发表于 2016-6-10 08:32:05

尿性,我要看逆向过程

昊情· 发表于 2016-6-10 08:41:39

RE: 小小细节 理解该程序如可实现指定功能

wuyan 发表于 2016-6-10 08:32
尿性,我要看逆向过程

不好这个~~~{:2_26:}

arctic 发表于 2016-6-10 09:37:53

支持中国红客联盟(ihonker.org)

ruguoruo 发表于 2016-6-10 11:38:45

我是来水经验的……

borall 发表于 2016-6-10 13:12:27

支持中国红客联盟(ihonker.org)

ayang 发表于 2016-6-10 13:34:45

支持中国红客联盟(ihonker.org)
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 小小细节 理解该程序如可实现指定功能