28

一个龙之谷木马的分析

零度x 病毒分析 3 个回复

病毒样本:http://www.52pojie.cn/thread-64398-1-1.html

只分析了exe,感染的dll下次分析

exe

去除启动时候的小漏斗


004017C9  |.  53            push    ebx
004017CA  |.  55            push    ebp
004017CB  |.  56            push    esi
004017CC  |.  57            push    edi
004017CD  |.  FF15 AC104000 call    dword ptr [<&USER32.GetInputStat>; [GetInputState
004017D3  |.  33DB          xor     ebx, ebx
004017D5  |.  53            push    ebx                              ; /lParam => 0
004017D6  |.  53            push    ebx                              ; |wParam => 0
004017D7  |.  53            push    ebx                              ; |Message => WM_NULL
004017D8  |.  FF15 64104000 call    dword ptr [<&KERNEL32.GetCurrent>; |[GetCurrentThreadId
004017DE  |.  50            push    eax                              ; |ThreadId
004017DF  |.  FF15 B0104000 call    dword ptr [<&USER32.PostThreadMe>; \PostThreadMessageA
004017E5  |.  53            push    ebx                              ; /MsgFilterMax => 0
004017E6  |.  53            push    ebx                              ; |MsgFilterMin => 0
004017E7  |.  8D4424 1C     lea     eax, dword ptr [esp+1C]          ; |
004017EB  |.  53            push    ebx                              ; |hWnd => NULL
004017EC  |.  50            push    eax                              ; |pMsg
004017ED  |.  FF15 B4104000 call    dword ptr [<&USER32.GetMessageA>>; \GetMessageA

阅读全文

, ,
05

p360 v2(2009年6月10日更新)

零度x 我的原创 22 个回复

360

应观众要求,升级到v2,添加了关闭360系统防火墙功能。

在木马之前运行,360的木马防火墙和系统防火墙就关闭了,就不会拦截我们的马儿了~!

体积92k,大了点,无壳的,使用时自己加个压缩壳吧。

应该xp系统有效

怎么使用呢,捆绑,rar什么的,自己发挥吧。

有bug在我博客留言……

阅读全文

, , , ,
03

驱动学习笔记–注册表+关掉360木马防火墙

零度x 驱动学习 6 个回复

对注册表的操作的和对文件的操作差不多 ,但是还是有些区别,下面就写一个对注册表操作的例子,这个是修改360安全卫士的注册表选项,使其木马防火墙失效。(在ring3下是不行的,驱动才行得通,即使360开自我保护也无所谓)

首先明确一下流程:

1.定义一个操作对象OBJECT_ATTRIBUTES

2.用InitializeObjectAttributes()函数初始化这个对象

3.用ZwOpenKey()函数来打开注册表打开360的选项

4.用ZwSetValueKey()函数来把360木马防火墙的的键值设置成空

5用ZwClose()函数来关闭打开的注册表

代码如下:

阅读全文

, , , , , ,