瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Keygen.exe——一个比较难对付的DLL木马

1234567   6  /  7  页   跳转

Keygen.exe——一个比较难对付的DLL木马

收藏
无限001
头像
快乐黄口狮
  • 帖子:208
  • 注册: 2006-07-24
  • 来自:
发表于: 2007-04-01 12:15 | 短消息 资料
字号: 51楼

非常支持,又学习了..还是喜欢猫版的贴了.
不过一直很想知道猫版如何分析病毒样本行为的?
工具有哪些?
我也想研究研究,猫版给入个门?
gototop
 
not
头像
健康舞勺狮
  • 帖子:244
  • 注册: 2003-02-13
  • 来自:
发表于: 2007-04-01 13:33 | 短消息 资料
字号: 52楼

我运行了一边那个样本,在我机器里产生了nnnnlif.dll
添加注册表注册表:
\\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlif\    添加                2007-4-1 13:00:38
注册表:\\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlif\    添加    Logon    Logon        2007-4-1 13:00:38
注册表:\\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlif\    添加    Logoff    Logoff        2007-4-1 13:00:38
注册表:\\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlif\    添加    DllName    nnnnlif.dll        2007-4-1 13:00:38
注册表:\\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlif\    添加    Impersonate    0        2007-4-1 13:00:38
注册表:\\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlif\    添加    Asynchronous    1        2007-4-1 13:00:38

nnnnlif.dll插入了WINLOGON进程 他是调用了一个BAT文件删除自身的
我只能检测到这里,文件怎样检测我不会了,那个CLASS ID我也没检测到,猫叔介绍一下你用的什么工具吧,另外你的SSM是注册的吧?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-01 13:46 | 只看楼主 短消息 资料
字号: 53楼

引用:
【not的贴子】

那个CLASS ID我也没检测到,..........
………………

那个CLASS ID的发现,其实不难。瑞星用户,那个分支下的的CLSID只有一个(见图),指向瑞星相关程序。如果有其它的CLSID,应该仔细追查清楚。

附件附件:

下载次数:290
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-1 13:46:47
描述:
预览信息:EXIF信息
gototop
 
not
头像
健康舞勺狮
  • 帖子:244
  • 注册: 2003-02-13
  • 来自:
发表于: 2007-04-01 14:25 | 短消息 资料
字号: 54楼

那个键值写入的时候应该能检测吧?
就用您这个图上的工具检测的?还是您自己手动查找的那?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-01 14:28 | 只看楼主 短消息 资料
字号: 55楼

引用:
【not的贴子】那个键值写入的时候应该能检测吧?
就用您这个图上的工具检测的?还是您自己手动查找的那?
………………

Tiny(一个英文版防火墙)的Track'nReverse可以检测此毒感染系统的全部信息。
对于新手来说,这个墙较难使用。
gototop
 
一个人战斗
头像
初生襁褓狮
  • 帖子:94
  • 注册: 2007-03-18
  • 来自:
发表于: 2007-04-01 14:44 | 短消息 资料
字号: 56楼

谢谢楼主。
我已经好久不中毒了,咻~~~
gototop
 
星雨小乖
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-01
  • 来自:
发表于: 2007-04-01 14:49 | 短消息 资料
字号: 57楼

学习是一种美德
gototop
 
星雨小乖
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-01
  • 来自:
发表于: 2007-04-01 14:49 | 短消息 资料
字号: 58楼

学习是一种美德。
gototop
 
pigboy
头像
卡卡反病毒小组
  • 帖子:3784
  • 注册: 2007-02-22
  • 来自:
论坛8周年活动礼物十周年
发表于: 2007-04-01 14:53 | 短消息 资料
字号: 59楼

话不多说
很感谢
gototop
 
pigboy
头像
卡卡反病毒小组
  • 帖子:3784
  • 注册: 2007-02-22
  • 来自:
论坛8周年活动礼物十周年
发表于: 2007-04-01 14:56 | 短消息 资料
字号: 60楼

引用:
【baohe的贴子】
Tiny(一个英文版防火墙)的Track''nReverse可以检测此毒感染系统的全部信息。
对于新手来说,这个墙较难使用。
………………

猫叔有这个防火墙的下载地址吗/偶想看下
gototop
 
<<上一主题|下一主题>>
1234567   6  /  7  页   跳转
页面顶部
Powered by Discuz!NT