病毒木马分析
野男孩
坚持做技术的土人
展开
-
Windows rootkits of 2005, part two(翻译)
上一篇文章中,我们谈到了当前的rootkit开发技术。本文更深入一点,将焦点集中在rootkit技术的最前沿。在第三篇,也就是本系列的最后一篇中,将重点论述rootkit侦测的各种方法及安全方面的专业的应对措施。 本文讲述的方法是在Black Hat 2005大会上介绍的Shadow Walker的rootkit原型试验时提出的。这些方法使得攻击者通过控制扫描器在翻译 2007-06-27 12:24:00 · 1963 阅读 · 0 评论 -
昨天在单位遭遇威金木马病毒,可能是变种,手动杀之
症状是任务管理器里有logon_1.exe或者rundl132.exe。简单分析后,发现所有的exe几乎都被感染,每个目录下有个_desktop.ini文件用于记录日期。explorer.exe进程中有dll.dll动态库。c:/windows/system32/drivers目录下有svchost.exe在开机时运行。 杀毒比较简单: 1.断了网线 2.安全模式启动原创 2008-09-12 07:10:00 · 1187 阅读 · 0 评论 -
手动清除超猛木马群:NewSys55.Sys msosfpids32.sys msosdohs.dll msosmhfp00.dll msosmnsf00.dll
昨晚下班回家,老爸说机器不行了,总出错。一开机就看到explorer.exe报错,关了,开ie,ie报错,md,肯定是中毒了。注册表看了看,App_inits挂了3个dll: msosdohs.dll msosmhfp00.dll msosmnsf00.dll。于是去c:/windows/system32下搜索之,没有!奇怪。用process explorer.exe查找这3个动原创 2008-04-11 06:58:00 · 2377 阅读 · 2 评论 -
看cgx视频的,中毒了吧?
最近以cgx,zbz,a gill为代表的娱乐界狠狠地输出了一下价值观阿,嗯,挺好。但是一小撮流氓团伙借机发布带木马的假视频,很不和谐~!昨天就有哥们中招了,于是简单看了一下。其特征是:1.会生成一个服务,服务名为SYSTEM,描述为:系统自带的一款清理磁盘工具2.C:/Program Files目录下生成sachost.exe,还有setupway.txt3.C:原创 2008-02-08 09:42:00 · 2414 阅读 · 0 评论 -
Windows rootkits of 2005, part one(翻译)
出于学习计算机和英语的目的,尝试翻译一些英文的技术帖,我尽量翻译准确,然而不能保证,感兴趣的请参看原文:http://www.securityfocus.com/infocus/1850阅读基础:保护模式,PE文件格式,设备驱动程序 Windows rootkits of 2005, part o翻译 2007-06-14 20:36:00 · 2047 阅读 · 2 评论 -
利用NativeAPI的内存映射进行代码注入的新方式,至少我以前没见过~
代码注入的技术现在已经相当普及了,几个主要的方式包括 A.动态库利用CreateRemoteThread()调用LoadLibrary的远程注入 B.动态库安装全局钩子被映射到所有进程空间 C.打开要注入的进程,用VirtualAllocEx分配块空间将代码copy过去,然后CreateRemoteThread执行 D.使用调试API的Get原创 2007-06-07 22:21:00 · 2348 阅读 · 0 评论 -
网游:新三国策IV的加解密机制分析及外挂方面的思考
注意:本文为纯粹的技术研究,请勿用于不法用途 以前一直没太关注网络游戏外挂这方面的东西。前几天跟同事聊天,听他说起外挂这事儿,于是周日就下了一个网游:新三国策IV,随便玩儿一下,顺便分析其认证及数据报文加解密的算法。 这款游戏登陆时候的用户名及密码认证的安全性实在是不敢恭维。用户名是明文传递,密码只是经过了简单的加密运算,就在网络上传递用户的关键信息原创 2007-05-24 20:30:00 · 4683 阅读 · 0 评论 -
Trojan.PSW.OnlineGames木马群浅析
winform.exe & winform.dll winform.exe这个木马还带了一个winform.dll的动态库,该动态库导出2个函数:fa和fc。ok,一步一步来看看吧。 winform.exe干的第一件事情是调用mixer系列函数设置静音~。这样一来,如果被Anti-Virus发现了,也没那么容易被察觉。嗯,赞细致~~原创 2007-05-24 20:25:00 · 1902 阅读 · 0 评论 -
SysLoad3.exe木马病毒的分析及清除方法
本文第一次发是4.1发在msn space上了,这次把这类的文章都搬过来~~大家请多指教~! 昨天下午加班回来,发现本本的行为相当诡异。看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑。然后看了看注册表,加了启动项:SysLoad3.exe,在Windows系统目录下面。唉,我是不用杀毒软件的,一般中了木马都是随便杀杀就完了,然而这个木马很讨厌原创 2007-05-24 20:20:00 · 1775 阅读 · 4 评论 -
Windows rootkits of 2005, part three(翻译)
本系列的最后一章将探索5种不同的rootkit侦测技术用于发现Windows rootkit的分布。另外还会谈到9种为系统管理员设计的工具。1.介绍 在过去几年里Rootkit已经发展得很成熟,2005年中随着各种恶意软件甚至音乐CD蜂涌而至。尽管计算机系统被rootkit扰乱后要发觉或者清除rootkit是极度困难的,但是仍然有些方法可以侦测不同程度的rootkit。翻译 2007-07-23 13:01:00 · 1952 阅读 · 0 评论 -
Windows中主流的调试器介绍
调试器,顾名思义,就是用于调试的工具。为什么要调试呢?这得从一条虫子(bug)说起。江湖中传说还是在第一代真空管电子计算机时代,有一次研究人员发现计算机的行为不正常。于是他们就开始检查每个环节想找到原因,最终他们在机器里找到了条虫子(bug)从而解决了问题。于是后来便把发现并解决程序中与预期不符的行为称之为捉虫或除虫,也就bug加个De-前缀,即Debug。 火星人开发的程序是不是绝对没有原创 2008-09-21 09:18:00 · 1825 阅读 · 1 评论