也谈"飘雪"----主页被改为piaoxue.com - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛也谈"飘雪"----主页被改为piaoxue.com

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

也谈"飘雪"----主页被改为piaoxue.com

荣虎荣虎飘泊而立狮帖子:643 注册: 2005-12-11 来自:	发表于： 2006-10-21 12:45 \| 短消息资料字号：小中大 11楼上网少不了一软件,优化大师,我用了不错,现推荐。我原来常装系统，18日才装，20日就受病毒Trojan.DL.Agent.xdw的侵扰，多种方法都用了，清不掉，又有网友介绍别的软件的，但又怕出现新的问题。有一网友介绍优化大师不错，我原来系统98时用过，结果在新浪网下载来试，很不错，还清理了8个流氓软件，电脑速度明显加快。现推广给朋友，但愿能给你们帮助。优化大师是绿色软件。
荣虎荣虎飘泊而立狮帖子:643 注册: 2005-12-11 来自:

deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:	发表于： 2006-10-21 12:52 \| 短消息资料字号：小中大 12楼楼上的别到处灌水/ LZ的地址那帖子看过了。。。确实分析的很有道理
deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-22 09:01 \| 短消息资料字号：小中大 13楼发现了一点有意思的地方,大家讨论讨论~(似看懂,却又未看懂~) 打开楼主发给我的飘雪样本~~~ 没有运行,只是先用记事本打开了这个文件. 显示的内容有点乱~(这里就不全帖上来了,) 最前面显示了一句话~ This program cannot be run in DOS mode. (我用快译翻了下(版本有点低):这个计划不能够在操作系统模态中被进行) 下面一段看不懂的东西~(略) 接着,下面看到些稍稍好理解些的地方(当然,如果没有看过楼主提供的链接,这些还是不明白的~) ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ SOFTWARE\VMware, Inc.\VMware Tools ShowTray %s\msvcrt.dll SearchPlugInX SearchPlug SOFTWARE\Microsoft\Internet Explorer SearchPlugIn Type Start ErrorControl Group DisplayName ImagePath System Bus Extender SYSTEM\CurrentControlSet\Services\%s system32\drivers\%s.sys %s\%s.sys %s\drivers %c%c%c%c%c%c%c%c versioncheck http://baidu2.fenleidangdang.com/tj/%d/%s/%s System %d\|%s\|%s %02X %d 000000000000 %02X%02X%02X%02X%02X%02X * 再略一段~ ?memset strlen ?free strcpy ?malloc sprintf ?rand srand !time strcat ?_snprintf ??3@YAXPAX@Z ?fwrite ?fclose ?memcpy ?fopen msvcrt.dll _c_exit _exit N _XcptFilter _cexit ?exit _acmdln p __getmainargs @_initterm __setusermatherr _adjust_fdiv __p__commode __p__fmode __set_app_type _except_handler3 _controlfp SHGetValueA SHSetValueA SHLWAPI.dll InternetOpenUrlA InternetOpenA WININET.dll Netbios NETAPI32.dll . CloseHandle SetFileTime M CreateFileA WGetFileAttributesExA ?GetSystemDirectoryA ?GetVersionExA ?GetTickCount ;GetCurrentProcessId iGetLastError ?GetStartupInfoA KERNEL32.dll USER32.dll > CloseServiceHandle d CreateServiceA >StartServiceA ?OpenServiceA DeleteService ?OpenSCManagerA ADVAPI32.dll ? 虽说,这些,并不是能看得很明白~但却又好像看到些什么~~ 唉,还需要学习~~~
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2006-10-23 00:07 \| 短消息资料字号：小中大 14楼这个样本可能是新版~~用procexp关闭这个驱动的句柄也无法结束它~~~(因为根本就关闭不了~) 在sreng中根本就不可见~(真不知它是用什么方法隐藏自已的~) 但ssm可以监测到它的服务和驱动的安装(可是安装上后,在SSM的服务表中却看不到,只能看到它生成的驱动~),可惜没什么用,它的驱动启动后,就不太容易停了~ 另,这个飞雪的服务根本不可见(我是说用现有的一些工具~)但是在注册表中可以找到它的服务项~ 可惜,删了,就被恢复了~~(它好像是驱动连着服务,服务启动驱动~这个驱动文件就是这个服务运行的文件!)驱动停止不了,服务删了就又恢复~服务删不了,驱动同样也无法删除~唉真是晕~只好退出影子了~以后再寻求解决方法了~ (msvcrt.dll 这个DLL~~~ KERNEL32.dll USER32.dll > CloseServiceHandle d CreateServiceA >StartServiceA ?OpenServiceA DeleteService ?OpenSCManagerA ADVAPI32.dll 什么意思呢~~)
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT