PS:这个程序倒是没啥
不过下载的那些木马就不好办了
得到系统目录
得到系统临时目录
然后一堆正常的文件写入前操作
然后创建
ASCII "C:\WINDOWS\system32\lqcyc52.cyc"
并加载这个文件
创建
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\setupapi.dll
复制文件%Temp%\360tray.exe,但系统没找到,报错
后边两个CALL【调用】
0040252E E8 ADFBFFFF CALL 我的照片.004020E0
00402533 E8 C8FAFFFF CALL 我的照片.00402000
第一个:
得到windows目录
并创建C:\WINDOWS\systemdebug.exe
然后执行
出木马地址
00402267 8038 00 CMP BYTE PTR DS:[EAX],0
0040226A 74 03 JE SHORT 我的照片.0040226F
0040226C 8030 12 XOR BYTE PTR DS:[EAX],12
0040226F 40 INC EAX
00402270 ^ E2 F5 LOOPD SHORT 我的照片.00402267
出来后的:
http://www.nhiry.com/1.txt保存至C:\WINDOWS\boot.ini
【在老鼠漫步那帖子里有提到】
然后可以下载木马了
第二个:
创建c:\test.bat并执行
删除我的照片.exe与test.bat自身
然后运行完毕
00402538 6A 00 PUSH 0
0040253A FF15 68304000 CALL DWORD PTR DS:[<&KERNEL32.ExitProcess>] ; kernel32.ExitProcess
我的照片.exe结束
附件: 您所在的用户组无法下载或查看附件