msng.exe的VB程序分析

于 2021-07-03 12:58:37 发布
阅读量998 收藏
点赞数
分类专栏: 恶意代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/singleyellow/article/details/118438355
版权

样本连接:https://www.virustotal.com/gui/file/f05c0989b3f10e921a6acc9c8b5d781bc4818b070cf4729bd422e673a5e6dd19/detection

样本显著特征:打开www.openclose.ir网页

详细分析:

一、入口点处2次亦或解密

二、在401000--41f000处释放代码,完善VB导入表,进入msvbvm60.ThunRTMain函数。其中发现一些字符串(VB导入函数没有贴):

三、在ThunRTMain函数中调用第二步中释放的代码

四、注册表隐藏文件后缀名、超级隐藏;拷贝样本到系统目录,开机启动;浏览器打开www.openclose.ir网站

隐藏文件后缀名、超级隐藏:

拷贝样本到系统目录,开机启动:

打开www.openclose.ir网站:

五、VB如何调用Windows API

拜乔布斯
关注
专栏目录
VB程序代码加解读
08-01
我自认为是好资源 分享一下 另外自己没分了 支持一个!
msng病毒分析
好好学习,天天向上
11-28 1635
通过分析这个病毒,对VB病毒的逆向有了一定的学习。
彻底删除MSN Messenger
Robert's Log
03-31 569
用Outlook时,MSN总是喜欢跑出来,也没有用过,于是想要把它清除了。操作步骤:Windows XP,开始-->运行-->输入"RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove",按回车键后,在打开的对话框中单击“是”按钮,即可彻底将该MSN删除。
蠕虫病毒
cxu123321的博客
06-23 5765
蠕虫病毒 本词条由“科普中国”科学百科词条编写与应用工作项目审核 。 蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据.影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。[1] 中文名 蠕虫病毒 外文名 Worm virus 类型 计算机病毒 传染方式 网络和电子邮件 目录 1定义 2特点 ...
修改VB6的编译器C2.exe使它可以输出汇编代码(1).zip
03-03
VB6.exe可以将cls模块、普通模块、窗体代码frm先生存汇编代码文件,然后再继续编译,但我们看不到这些代码,是因为编译器C2.exe隐藏或删除了,为了在VB6的程序里可以嵌入汇编代码或C代码,就要让C2.exe将这些汇编...
VB6Cli.exe 修复 Visual Basic 6.0 中许可证问题
11-17
VB6Cli.exe 修复 Visual Basic 6.0 中许可证问题
VB调用WinRar.exe压缩和解压文件
05-07
总之,通过VB调用WinRAR.exe进行文件压缩和解压缩是一种实用的方法,尤其适用于自动化任务。理解WinRAR命令行参数和VB的`Shell`函数是实现这一功能的关键。在开发过程中,应注重代码的可读性和错误处理,以提供稳定...
vb6.0-kb290887-x86.exe英文版
08-08
vb6.0-kb290887-x86.exe是一个自解压缩可执行文件,它将安装所有使用 Visual Basic 6.0 创建的应用程序所必需的 Microsoft Visual Basic 运行库文件的各个版本。这些文件中还包括随 Service Pack 6 for Visual Basic...
vb.rar_audk.exe_手机 VB
09-21
标题中的“vb.rar_audk.exe_手机 VB”暗示了这是一个与Visual Basic(VB)相关的压缩包,其中包含了用于手机应用开发的元素。"audk.exe"可能是一个应用程序的可执行文件,而“appface.dll”和“appfaceu.dll”则可能...
MSN协议
热门推荐
dtdn的专栏
09-11 5万+
 1.         声明原文请见http://www.hypothetic.org/docs/msn/index.php,翻译中有改删,仅作学习用途。本人英文水平较差,只是凭着一腔热忱及毅力,勉强算翻译完毕,其中有若干意义描述模糊,不清楚之处请见原文。不喜请不要责怪,请当垃圾删除。我是MSN的初学者,欢迎上MSN与我交流,地址为Room3rd@hotmail.com。2. 
改变MSN个人状态信息
小大的专栏
03-05 891
<br />改变MSN个人信息,如Windows Media Play(千千静听)播放音乐时,将会显示正在播放的内容一样.网上有C#的代码,但是Windows Live Messenger好像不能用.于是写了一个消息拦截的工具,将Messenger的WM_COPYDATA截下来,并分析...却也没发现跟之前的版本有什么不一样的地方,郁闷.<br />procedure TFrm_Main.Execute_MSN7580;<br />var<br />hDestWnd: HWND;<br />Bu
对比MSN和QQ
____
12-02 1738
想到了谷歌和百度在中国人(除去港澳台海外)人群中的口碑,谷歌总是那么的高级那么的有没正直,只能用脑残二字来形容那些【嘴上心里一直唠叨着谷歌什么都是对的、什么都是好的优秀的】人! MSN和QQ的对比 上次360和QQ大战一场,很多想弃用QQ的人立即想到了MSN,那个老古董。看了网上很多言论,那个赞美~ 让人羞涩。msn不费吹灰之力就赢得了全中国人的热情好评。看着这份热情和好评,个人再次下
Linux下目录文件的操作(opendir,readdir,closedir) 以及DIR,dirent,stat等结构体详解
奔跑的路
08-20 1万+
From:http://blog.chinaunix.net/uid-27213819-id-3810699.html 注:为什么要说目录文件?其实在linux中目录也是一种文件,只是它的内容是上级的目录和当前目录下的文件信息等,详情可以看看相关深入的书籍 opendir(打开目录)   相关函数 open,readdir,closedir,rewi
网页爬虫之cookie自动获取
smilemilk的博客
08-03 4万+
本文实现cookie的自动获取,及cookie过期自动更新。 社交网站中的很多信息需要登录才能获取到,以微博为例,不登录账号,只能看到大V的前十条微博。保持登录状态,必须要用到Cookie。以登录www.weibo.cn 为例: 在chrome中输入:http://login.weibo.cn/login/ 分析控制台的Headers的请求返回,会看到weibo.cn有几组返回的co
vb.exe反编译工具
最新发布
02-04
vb.exe反编译工具是一种用于将Visual Basic程序的编译代码转换回原始源代码的工具。它可以帮助开发人员分析已编译的程序、修改已有程序的功能、或者进行逆向工程研究。使用vb.exe反编译工具,开发人员可以查看程序的内部结构、了解程序是如何实现功能的,还可以进行代码的修改和优化。这对于一些需要修改现有程序功能或者学习他人代码的开发人员来说是非常有用的。 使用vb.exe反编译工具需要一定的编程知识和经验,因为在转换过程中可能会出现一些错误,需要通过手动修改来修复。另外,使用vb.exe反编译工具需要谨慎对待,因为有可能侵犯他人的知识产权。如果开发人员使用反编译工具对他人的程序进行修改或者复制,可能会触犯法律。 总的来说,vb.exe反编译工具是一种有用的工具,可以帮助开发人员对程序进行深入的分析和修改,但需要注意遵守法律和尊重他人的知识产权。同时,开发人员需要在使用反编译工具时谨慎行事,避免对他人的程序产生不良影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拜乔布斯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值