病毒分析
文章平均质量分 55
cs08211317dn
这个作者很懒,什么都没留下…
展开
-
记最近分析的一个锁屏幕病毒
1.病毒运行后现象:病毒程序占满屏幕。鼠标依然在,但是无论点击哪儿都没反应。快捷键(例如ctrl+alt+delete,alt+f4(关闭当前口),alt+tab(切换窗口)等)全部失效。 关闭电源,用普通安全模式或带网络连接的安全模式启动,病毒程序依然占满屏幕。 但是dos命令行安全模原创 2011-11-25 16:27:57 · 886 阅读 · 0 评论 -
系统图标及其注册表项
在桌面右击--属性----效果---在里面可以更改系统图标 改注册表: 作 用:修改系统文件夹的图标 路 径:HKEY_CLASSES_ROOT\CLSID\系统文件夹的ID 键值名称:DefaultIcon 键 值:缺省数据修改为你喜欢的图标所在的位置。 作 用:快捷方式图标上的箭头 路 径:HKEY_CLASSES_ROOT\lnkfile、HKEY_CLASS转载 2012-03-15 11:45:06 · 3333 阅读 · 1 评论 -
利用专用文件夹隐藏文件 (tasks、fonts)
专用文件夹控制面板、回收站和计划任务文件夹%systemroot%tasks 。可以通过在cmd.exe 下复制一个文件过去。例如: copy abc.txt %systemroot%tasks 键入: cd %systemroot%tasks 你可以看到,文件已经复制到了tasks目录中了。但是如果你通过资源管理器进入这个tasks目录,你会看不到abc.txt文件。只有通过xu原创 2012-02-27 20:24:31 · 1758 阅读 · 0 评论 -
木马爱修改的常见注册表项及其功能
IE相关:设置IE多线程下载网页的线程数:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings MaxConnectionPerServer(字符串值) 10(设置最大同步下载连接数为10)MaxConnectionPer1_0Server(DWORD值)原创 2012-02-28 15:49:41 · 2334 阅读 · 0 评论 -
一个注册为输入法的木马分析
我已把此木马样本传到以下链接:http://download.csdn.net/detail/cs08211317dn/4096819一.大致描述:1. 样本名称:z.exe2. 家族名: PWS:Win32/Zuten.gen!D(MIcrosoft)3. MD5:E298C3D646F3F25F2DE7DA8509A3D3B04原创 2012-02-28 15:13:16 · 1107 阅读 · 0 评论 -
计算机寄存器及标志位详解
以下是计算机内部寄存器阵列图:以下FR控制标志位及其含义:1. CF 进位标识位进行加减运算时, 如果最高二进制位产生进位或错位, CF则为1, 否则为0. 程序设计中, 常用条件转移指令JC, JNC指令据此标志位实现转移2. PF 奇偶标志位操作结果中二进制位1的个数为偶数是, PF为1, 某则为03. AF 辅助进位原创 2012-02-17 11:12:35 · 3787 阅读 · 0 评论 -
汇编指令大全
[数据传送指令]一、通用数据传送指令1、传送指令 MOV (move)指令的汇编格式:MOV DST,SRC 指令的基本功能:(DST)指令支持的寻址方式:目的操作数和源操作数不能同时用存储器寻址方式,这个限制适用于所有指令。指令的执行对标志位的影响:不影响标志位。指令的特殊要求:目的操作数DST和源操作数SRC不允许同时为段寄存器;目的操作数DST不能转载 2012-02-16 16:18:18 · 2280 阅读 · 0 评论 -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
函数MoveFileEx(szDstFile, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);实际上是对注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations键进行修改,让操作系统在下一次启动后,AutoChk运行后转载 2012-02-23 11:16:07 · 14147 阅读 · 2 评论 -
regini.exe使用方法
创建一个名称test 类型reg_dword 数据1 如果是只有=那会默认以类型reg_sz创建HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ystest =reg_dword 12。注册表键数值 [更改的权限]例如:HKEY_CURRENT_USER\Software\Microsoft\转载 2012-02-14 18:04:51 · 4256 阅读 · 1 评论 -
某释放驱动的样本分析及手杀报告
此为样本文件下载链接:http://download.csdn.net/detail/cs08211317dn/3982364,压缩包解压缩密码为:virus。今天花了1个多小时分析了一款名为123.exe的病毒,觉得挺有意思的,于是顺手写个手杀报告,以备以后查看。1.病毒行为:(1)利用注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window原创 2011-12-29 21:28:46 · 1331 阅读 · 0 评论 -
由于权限问题无法删除注册表键值的解决方法
在中了某个病毒之后手动删除病毒自启动项失败,如下图:查看run项的权限,发现用户被修改成了Everyone,并且没有任何权限,如下图:手动赋予Everyone用户完全控制权限后删除注册表项成功,如下图:原创 2011-12-26 14:46:16 · 14939 阅读 · 0 评论 -
通过修改explorer.exe内存隐藏文件及注册表项
记录今天分析的一个隐藏自身及注册表项的病毒。1.概述:(1)此病毒文件为路径为:C:\Windows7\4D525EC1C14.exe,且注册了自启动项:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [UU5DUD3ZUFYW3W5YYPBNVTTD] C:\Windows7\4D525EC1C14原创 2011-12-09 16:13:47 · 2189 阅读 · 0 评论 -
系统提示一个程序正在被另一个程序调用,如何知道是被哪个程序调用
今天在处理一个病毒时,发现病毒文件无法复制。于是利用processxp找到了病毒文件是被哪个文件调用,然后用md关闭了调用句柄后成功复制文件。具体情况如下:为了找到是哪个程序调用了befsvc.exe,打开processexplorer.exe,点击工具栏中的望眼镜图标进行查找:从上图可以看出是csrss.exe调用了befsvc.exe。于是直接使用md挂起csrss.e原创 2011-12-07 16:55:42 · 3368 阅读 · 0 评论 -
修复病毒破坏的文件关联并恢复程序图标
1.破坏文件关联的两种方式:(1)修改特定扩展名文件的对应名称。以.exe文件为例:正常注册表中,.exe文件对应名称为:HKEY_CLASSES_ROOT\.exe (默认) exefile病毒为了让.exe文件用notepad打开,从而阻止其运行,于是将上述exefile改为txtfile。而正常注册表中,txtfi原创 2011-11-25 16:30:11 · 2258 阅读 · 0 评论 -
分享几个病毒分析检测网址
1、在线病毒分析网站:以下网站上传样本后,很快就会在网页上出报告的:(1)这个网址报告格式很简洁,我很喜欢:http://camas.comodo.com/(2)这个网址的报告最全面,而且会真的把传上去的样本跑一遍:http://anubis.iseclab.org/?action=home(3)这两个很像是同一个网站:http://www.xandora.net/原创 2011-11-25 16:31:35 · 12844 阅读 · 1 评论 -
DOS命令 format
作用:对磁盘进行格式化,划分磁道和扇区;同时检查出整个磁盘上有无带缺陷的磁道,对坏道加注标记;建立目录区和文件分配表,使磁盘作好接收DOS的准备。格式:format〈盘符:〉[/S][/4][/Q]使用说明:(1)命令后的盘符不可缺省,若对硬盘进行格式化,则会如下列提示:WARNING:ALL DATA ON NON --REMOVABLE DISK转载 2012-03-15 11:31:31 · 1424 阅读 · 0 评论