virus log
马灯
小菜中
展开
-
用WriteProcessMemory函数注入进程的流程
<br />CreateProcessA 创建挂起进程<br />GetThreadContext <br />ReadProcessMemory<br />VirtualAllocEx 分配空间 <br />WriteProcessMemory 写入PE头<br />WriteProcessMemory 循环写入各节表<br />WriteProcessMemory <br />SetThreadContex原创 2011-02-28 10:21:00 · 2020 阅读 · 0 评论 -
cycbot_vm_3.cpp修正
/* 虚拟机中的程序 */#include "md5.h"#include #include //#include using namespace std;//void Copy_dwm();//void Copy_cs原创 2011-07-06 16:45:52 · 423 阅读 · 0 评论 -
cycbot_vm_3.cpp
/* 虚拟机中的程序 */#include "md5.h"#include #include //#include using namespace std;//void Copy_dwm();//void Copy_cs原创 2011-07-06 16:33:08 · 334 阅读 · 0 评论 -
实现循环
简单的一个实现循环//#include "stdafx.h"#include "string"#include "iostream"#include "windows.h"#include "tlhelp32.h"using namespace st原创 2011-07-06 20:01:17 · 647 阅读 · 2 评论 -
cycbot_vm_2.cpp
/* 虚拟机中的程序 */#include "md5.h"#include #include //#include using namespace std;void Copy_dwm();void Copy_csrss(原创 2011-07-06 14:18:02 · 494 阅读 · 0 评论 -
vm运行样本,实现自动下载
cycbot_host.cpp:#include "windows.h"void main(){ while(1){ Sleep(1000); system("D:\sample\cycbot\vm_start.bat"); Sleep(60000); system("D:\sample\cycbot\vm_stop.bat"); }}cycbot_vm.cp原创 2011-07-03 01:25:50 · 479 阅读 · 0 评论 -
自动下载的升级程序(VM中的程序)
cycbot_vm.cpp/* 虚拟机中的程序 */#include "md5.h"#include //#include void Copy_dwm();void Copy_csrss();void Copy_conho原创 2011-07-04 20:00:23 · 391 阅读 · 0 评论 -
端口 3127 的情况研究下
<br />每个样本访问多个IP或域名,到底是怎么回事,找几个样本看下。原创 2011-04-07 17:56:00 · 894 阅读 · 0 评论 -
91461452469259f108dee0593bece4cb
有多个ftp服务器,好好研究下原创 2011-04-07 14:06:00 · 634 阅读 · 0 评论 -
Backdoor/Afcore病毒
<br />访问adobe.com网站,下载正常文件<br />再下载指定连接的样本并运行<br /> <br /> <br />6e7d37c7af1ec896a529778a87901707<br />4711c2e6405613878bc95aed3eb597a1<br />d1b8ae34d58d873070f094ba703d923d<br />7b27f40e4b2ba6d5a4728a9f1b8281dc<br />6e8c44e0532329e4aa3822e647917c61原创 2011-03-22 18:00:00 · 541 阅读 · 0 评论 -
待验证 bot
1ca6ecb7810d7da5fd191d34f682c719 P406b78ffddde6b442b8575302d600697b83 P436095c24d8482fca469f3e8418ca961654 P433a2c570f4fd0a7698a0fe281b4e136d74 P4326204713febd7a61e673c268463ba44a4 P433bd3fd83554f74d3a338d03ba252fccbe P43407572c86b315b55a13原创 2011-03-19 15:55:00 · 439 阅读 · 0 评论 -
127c4f729e6303a99b6704a471c9310d spyeye bot
UPX脱掉第一层,重点分析第二层(dump_greere.exe):初始地址41DCA9,大小16C6的数据前后解密的比较,见 41DCA9_16C6_解密前 和 41DCA9_16C6_解密后,解密在004045D6地址处解密后跳到003C111B(初始3C0000)处继续执行,即从解密后的 0041DCA9+111B=41EDC4处执行。注意观察内存及函数的参数情况,得到 样本 00C2C7CF_16200.ex继续跟的话,程序又会把该样本 00C2C7CF_16200.ex 写进本进程,跟到0045原创 2011-03-17 19:36:00 · 2154 阅读 · 3 评论 -
a74a1519011d08c8a3524144765e3fe0 bot
<br />典型bot<br />设置主题为接受的命令,从上图看出,就是下载执行.<br />原创 2011-03-11 15:51:00 · 467 阅读 · 0 评论 -
9AFC526906346A4BD68A4B3147DC5410 和 0EF3D0884419F54FED9D5C36AD78C304 的解密比较
<br /><br />AFC526906346A4BD68A4B3147DC5410的解密数据:<br />4044E4至40BD53 大小为7870(16进制)<br />解密Key:40BD54至40BEBC 大小为168(16进制)<br />解密方法:把解密数据按字节和Key按字节分别异或360次得到解密数据块(见IDA loc_401462处),再把解密数据块用Windows自带的ntdll.RtlDecompressBuffer函数进行解密得到真正的样本文件。<br /> <br />0EF3原创 2011-03-09 18:06:00 · 2604 阅读 · 0 评论 -
连接ftp站点下载加密样本
FE3E71D7774B302D2C6C352303D2CC28连接下面的ftp服务器,利用构造好的user,pwd登录,下载指定的加密文件786444.el.funpic.orgelegan_786444.el.funpic.orggriptoloji.host-ed.netftp.tripod.com解密C:/Program Files/Java/jre-20/bin/Help.hlp sub_401580函数解密的Help.hlp写进C:/Documents and Settings/chenja原创 2011-03-01 17:52:00 · 802 阅读 · 1 评论 -
8CB8CCD14EB87A3614FF883829721920
一个完整的IRC对话NICK {XP/CHN/539843}USER CHENJAVAAV * 0 :CHENJAVAAV:001 net.work 001:002 002 002:003 003 003:004 004 004:005 005 005:005 005 005:005 005 005PING 422 MOTDMODE {XP/CHN/539843} -ixJOIN #iframe# MODE {XP/CHN/539843} -ixJOIN #iframe# MODE {XP/CHN/5398原创 2011-02-28 17:48:00 · 1701 阅读 · 0 评论 -
F09607C74ADF356898CF03207606869B
多层加密在内存释放真正样本文件, 样本文件创建svchost.exe进程并从远程地址下载数据注入到新创建的svchost.exe中开始解密用到: 在本进程中创建两个Pipe,利用两个Pipe中转数据调试技巧:该样本利用SetUnhandledExceptionFilter函数(顶级过滤函数)创建异常处理函数,并有目的的产生“非法访问内存”异常(004077c8处),从而调用自己的异常处理函数来处理。OD调试时需要更改如下两个地方:选项/调试设置(Alt+O)/异常/非法访问内存 的 勾 去掉原创 2011-02-28 10:48:00 · 903 阅读 · 0 评论 -
近期的两个研究
1.GIF格式内嵌php,asp等脚本的研究2、提取脚本式bot地址参考gif格式分析【转载】 http://blog.csdn.net/friendwaters/article/details/2737328原创 2012-03-27 15:16:57 · 525 阅读 · 1 评论