小小细节理解该程序如可实现指定功能

昊情· · 发表于 2016-6-10 00:09:10

用VB写一个简单的关机程序当作病毒主要功能恶意关机，。。。就当病毒木马吧。
360截图20160609235015637.jpg

开启安全软件监控

双击运行病毒程序
HIPS提示

360截图20160609235148572.jpg

说明该文件带有病毒行为（火绒剑分析略过）

利用反编译查看是如可运作的

用IDA 可能很麻烦 http://www.ithao123.cn/content-2147717.html 看了这篇文章（不要跟我说你没学过编程。。。。）大家都知道吧

用OD

如可找出相关位置，，这个不用我说了吧，下断点或者查字符串什么的。。

QQ截图20160609180338.png

在401931开始一直运行复现了病毒的行为。

401931 401936 VB用vbastrcat把字符串链接起来就等于我们写代码的时候Shell "cmd.exe /c" & "shutdown -s -t 20"
就等于在系统运行输入代码一样。

401954 VB用rtcshell调用CMD

就这样我们摸清他们的套路了~~~有兴趣可以搞个专杀提取特征码什么的、自己百度去~

紫色的地方不懂的话请看下这里http://www.ithao123.cn/content-2147717.html

睡觉(～﹃～)~zZ了

wilist · 发表于 2016-6-10 01:27:28

非常感谢

ayang · 发表于 2016-6-10 05:24:36

云游者 · 发表于 2016-6-10 06:39:33

支持中国红客联盟(ihonker.org)

wuyan · 发表于 2016-6-10 08:32:05

尿性，我要看逆向过程

昊情· · 发表于 2016-6-10 08:41:39

wuyan 发表于 2016-6-10 08:32
尿性，我要看逆向过程

不好这个~~~

arctic · 发表于 2016-6-10 09:37:53

支持中国红客联盟(ihonker.org)

ruguoruo · 发表于 2016-6-10 11:38:45

我是来水经验的……

borall · 发表于 2016-6-10 13:12:27

支持中国红客联盟(ihonker.org)

ayang · 发表于 2016-6-10 13:34:45

支持中国红客联盟(ihonker.org)

小小细节理解该程序如可实现指定功能

相关帖子

点评

RE: 小小细节理解该程序如可实现指定功能

指导单位

旗下站点

联系我们

小小细节 理解该程序如可实现指定功能

相关帖子

点评

RE: 小小细节 理解该程序如可实现指定功能

指导单位

旗下站点

联系我们

小小细节理解该程序如可实现指定功能

RE: 小小细节理解该程序如可实现指定功能