返回
机器狗变种分析

机器狗变种分析

ID:23453390

大小:55.00 KB

页数:5页

时间:2018-11-08

机器狗变种分析_第1页
机器狗变种分析_第2页
机器狗变种分析_第3页
机器狗变种分析_第4页
机器狗变种分析_第5页
资源描述:

《机器狗变种分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、机器狗变种分析~教育资源库  我是一个菜鸟,第一次学别人分析病毒,做得不好,大家多多包涵。  因为分析的是比较接近系统底层的机器狗,若有很多错漏的。请高手们指出,谢谢。  学无止境,以后还得更加刻苦学习才行,经过这次的分析,让我懂得我有太多太多不懂了。。。。  病毒新颖的地方就是通过感染系统关键的DLL,使它在保持原来的功能的前提下,打开被病毒感染的另一个系统文件。  与修改系统文件输入表,感染DLL差不多,但是危害性要更强,切不可把dubug.exe先替换,重启后无法进入系统  :墨羽刃(防止万一还是说说吧)  样本名:Gameeeeeee.pif 

2、 卡巴斯基:Trojan-PSULDROP.Trojan  瑞星:无  MD5:d38139085d83607f895fc91f043ca8e6  壳:Root%system32ctl32.dll,%SystemRoot%system32debug.exe,%SystemRoot%system32driversntkapi.sys  获取系统安装目录,释放一个4位随机字母的程序,然后运行。历遍进程查找drvanti.exe  (驱动防火墙)若没有找到会建立一个E:NBMSClientDrvAnti.exe(???意图不明)释放ntkapi.sys到dr

3、iver文件夹,并创建一个服务,服务名为Ntsapi。然后删除ntkapi.sys,达到隐蔽的目的。找到ntdll.dll,获得函数ZInformation的地址,用ZInformation得到ntoskrnl.exe地址,然后用LoadLibraryEx装入。导出SSDT表,但是EQ和SSM的挂钩貌似没有被还原,还有(应该还有,我看不出来了,我是菜鸟不好意思)对自身进行提权,历遍进程查找ravmond.exe进程,找到后用函数ZinateProcess终止进程。然后轮到ccenter.exe进程了,也是瑞星的(瑞星的进程,瑞星的自我防护一向不怎么好,

4、估计是会被终止的)。。后面,就是360的360tray.exe啦,专挑软骨头啃  重头戏,穿还原建立C:与EQ均无反应。据说是把文件加载到内存中,然后读写后覆盖原文件。  查找注册表的SOFTicrosoftentsandSettingsaa桌面脱壳.exe  文件路径:C:entsandSettingsaa桌面脱壳.exe  文件路径:C:32driversntkapi.sys  触发规则:所有程序规则->系统文件->%32drivers*.sys  2008-08-1212:37:37安装服务或者驱动操作:允许  进程路径:C:32se

5、rvices.exe  文件路径:C:32driversntkapi.sys  触发规================================================  释放文件:****.exe(四位随机字母名)  瑞星:Trojan.DL.nless.atb  江民:TrojanDok  卡巴:Trojan-PSi./9/jx.txt  .baidu.  .google.  历遍进程,找360TRAY.EXE,找到后终止。  获得系统system32目录,进而找到C:32dllcachetaskmgr.exe文件(任务管理器的备分文

6、件)  删除C:32taskmgr.exe(原任务管理器),由32下面替换掉原文件。  ctl32.dll,debug.exe这两个可以从C:32dllcache找到备份的,而taskmgr.exe不行,必须从另外的系统拷贝一份和你的系统相同的文件才行。  把这分隔线中的代码复制到记事本文件中(即*.txt)  ###############################################################################################################  echooff  

7、cdC:32  rendebug.exellkcll  renctl32.dllllkclll  copyC:32dllcachedebug.exeC:32debug.exe  copyC:32dllcachectl32.dllC:32ctl32.dll  echo请重新启动系统  pause>>null  ###############################################################################################################  然后选文件

8、另存为文件名为fix.bat(主意后缀一定要是bat)  然后打开fix.bat,之后重新启动

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。