2017年3月25日
摘要:
以下是资源文件.rc: 以下是 阅读全文
摘要:
此程序建立了一个TCP服务端,端口号为10010,之后accept等待连接,如果接受到连接,那么就发送一些欢迎信息,以及提示信息 发送quit退出. 之后不停地调用recv,如果接受到数据,那么判断是否为quit,是则退出,否则进入401e00对接收到的数据进行加密 ,之后把加密后的数据发送回客户端 阅读全文
摘要:
总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服 阅读全文
摘要:
主要就是构造408ede处的2A个字节.. 其中第一个字节必须为0x2D,倒数第二个字节必须为0x36,倒数第三个字节为0x31. 之后,对这个2A字节的缓冲区,要满足一些条件: 1\ 在408ede里查找字符0x2E 找到0x2E之后的第一个位置存到栈中,位置A 之后再从位置A开始找0x2D 找到 阅读全文
摘要:
病毒行为: 1\将资源中的DLL释放到当前目录下 2\设置注册表,将GINA DLL设置为上一步中释放的DLL DLL行为: 1\在DLL被进程装载时, 装载正常的msgina.dll, 并保存句柄,用于后续调用,保证系统正常运行 2\在hook WlxLoggedOutSAS时, 将第七个参数中的 阅读全文
摘要:
根据分析,此病毒是一个勒索软件,通过修改登录用户密码,留下勒索QQ号码向用户索要金钱. 它调用了Kernel32.dll里的WinExec来执行更改用户密码的cmd命令,密码为107289,更改完密码之后就关闭计算机. 解决方案:输入密码107289 或者使用PE系统破解密码. 在修改了最后的关机以 阅读全文