无忧启动论坛

标题: AV终结的新变种??? [打印本页]
作者: pandorak    时间: 2007-8-9 20:38
提示: 作者被禁止或删除 内容自动屏蔽
作者: pandorak    时间: 2007-8-9 22:57
提示: 作者被禁止或删除 内容自动屏蔽
作者: 123    时间: 2007-8-9 23:41
还真有病毒啊!myplayer和pagefile我已经领教过了,另两个没见过,过会试试。

1.JPG (41.66 KB, 下载次数: 23)

1.JPG
作者: chinazswa    时间: 2007-8-10 02:51
小老鼠提供的巡洋舰,看来不行啊。:em15
作者: pandorak    时间: 2007-8-10 13:45
提示: 作者被禁止或删除 内容自动屏蔽
作者: lintel    时间: 2007-8-10 14:08
驱逐舰确实已经被杀...但是并不是只有驱逐舰...咔吧也是....
作者: 123    时间: 2007-8-10 14:11
原理应该是映像劫持,删除注册表就搞定了
作者: lintel    时间: 2007-8-10 14:23
运行后在每一个盘下生成pnxxupm.exe和AUTORUN.INF同时会尝试删除免疫...在%program files%\System下生成pnxxupm.exe和xmjisnw.exe,在%program files%\Microsoft Shared生成xibgptd.exe其中xmjisnw.exe是一个程序下载器...会自动下载木马和流氓插件...但是它不会感染EXE文件,估计是写病毒的人没有太高的能力:lol ,123姐姐说的对,是用了映像劫持,驱逐舰没有被劫持,挟持了360安全卫士和咔吧几乎所有的杀毒和安全工具。不过他的新思路值得大家学习:lol 就是它会检查是什么程序对它进行拦截,同时结束该程序:lol

[ 本帖最后由 lintel 于 2007-8-10 02:47 PM 编辑 ]
作者: lintel    时间: 2007-8-10 14:47
已经搞定病毒
作者: lintel    时间: 2007-8-10 14:49
记得先把:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
下面的所有的子项删除干净...不然你打开杀毒软件就等于打开了病毒:lol
作者: 123    时间: 2007-8-10 14:57
原帖由 lintel 于 2007-8-10 14:23 发表
运行后在每一个盘下生成pnxxupm.exe和AUTORUN.INF同时会尝试删除免疫...在%program files%\System下生成pnxxupm.exe和xmjisnw.exe,在%program files%\Microsoft Shared生成xibgptd.exe其中xmjisnw.exe是一个程序 ...

如果他能检测拦截他的程序那就太奇怪了,一般如果被拦截的话程序是处于暂停状态的,即使他使用多线程也只能发现调用一个函数的时间变长了。而且拦截往往是通过注入DLL的方法,拦截程序是在那个注入的DLL里的,如果他要结束肯定会把自己结束掉,除非他会DLL反注入。
作者: lintel    时间: 2007-8-10 15:01
原帖由 123 于 2007-8-10 02:57 PM 发表

如果他能检测拦截他的程序那就太奇怪了,一般如果被拦截的话程序是处于暂停状态的,即使他使用多线程也只能发现调用一个函数的时间变长了。而且拦截往往是通过注入DLL的方法,拦截程序是在那个注入的DLL里的, ...

不,他生成了一个普通进程,为:  随机的字符.TMP 进行检查.而这个东西是独立的,用来检查主程序是否被拦截....
作者: 123    时间: 2007-8-10 15:04
原帖由 lintel 于 2007-8-10 15:01 发表

不,他生成了一个普通进程,为:  随机的字符.TMP 进行检查.而这个东西是独立的,用来检查主程序是否被拦截....

你怎么确定他是用来检查主程序是否被拦截的?
作者: lintel    时间: 2007-8-10 15:07
原帖由 123 于 2007-8-10 03:04 PM 发表

你怎么确定他是用来检查主程序是否被拦截的?


基本可以确定,因为驱逐舰的主程序在拦截后被关闭...

具体也只是普通的判断,错误也是难免的.因为其他的工具都不能开,我是用安全盾看的....
作者: lintel    时间: 2007-8-10 15:08
奇怪的是他能用映像劫持,为什么不做线程插入呢...奇怪...还有,它并没有禁用注册表...
作者: 123    时间: 2007-8-10 15:11
原帖由 lintel 于 2007-8-10 15:07 发表


基本可以确定,因为驱逐舰的主程序在拦截后被关闭...

具体也只是普通的判断,错误也是难免的.因为其他的工具都不能开,我是用安全盾看的....

不止是拦截他的程序会关闭吧?驱逐舰拦截别的程序不关闭吗?我觉得应该是检查是否存在那个拦截窗口。
作者: 123    时间: 2007-8-10 15:12
原帖由 lintel 于 2007-8-10 15:08 发表
奇怪的是他能用映像劫持,为什么不做线程插入呢...奇怪...还有,它并没有禁用注册表...

你知道什么叫做线程插入吗?映像劫持跟线程插入的难度是一个档次的?
作者: lintel    时间: 2007-8-10 15:13
原帖由 123 于 2007-8-10 03:11 PM 发表

不止是拦截他的程序会关闭吧?驱逐舰拦截别的程序不关闭吗?我觉得应该是检查是否存在那个拦截窗口。


估计这个也是有可能吧...

如果能够反编译就简单多了,我是在脱壳的时候中的...:L
作者: lintel    时间: 2007-8-10 15:14
原帖由 123 于 2007-8-10 03:12 PM 发表

你知道什么叫做线程插入吗?映像劫持跟线程插入的难度是一个档次的?


知道,但是如果真的能够做到,那么线程插入也是不难的...就和你说的一样...
作者: 123    时间: 2007-8-10 15:17
原帖由 lintel 于 2007-8-10 15:14 发表


知道,但是如果真的能够做到,那么线程插入也是不难的...就和你说的一样...

映像劫持仅仅是改注册表,线程插入我只会用网上现成的代码,那代码用了两个DLL,一个EXE,DLL里还用了汇编,你觉得难度怎么样?
作者: lintel    时间: 2007-8-10 15:19
原帖由 123 于 2007-8-10 03:17 PM 发表

映像劫持仅仅是改注册表,线程插入我只会用网上现成的代码,那代码用了两个DLL,一个EXE,DLL里还用了汇编,你觉得难度怎么样?

:lol 自己写嘛....看过<windows核心编程>这本书你就知道了
作者: 123    时间: 2007-8-10 15:28
原帖由 lintel 于 2007-8-10 15:19 发表

:lol 自己写嘛....看过这本书你就知道了

看过有什么用?看书只能通过笔试,要自己写代码根本写不出来。
作者: lintel    时间: 2007-8-10 15:32
原帖由 123 于 2007-8-10 03:28 PM 发表

看过有什么用?看书只能通过笔试,要自己写代码根本写不出来。


我相信123姐姐的能力:P
作者: pandorak    时间: 2007-8-10 19:23
提示: 作者被禁止或删除 内容自动屏蔽
作者: pandorak    时间: 2007-8-10 19:25
提示: 作者被禁止或删除 内容自动屏蔽
作者: lintel    时间: 2007-8-10 20:34
原帖由 pandorak 于 2007-8-10 07:25 PM 发表
不过..........病毒打包后用没升级的巡洋舰可以查到.........但升级后的巡洋舰却没有什么反映........??
RPWT??


这个是没有问题的,以为可能已经被挟持了
作者: pandorak    时间: 2007-8-11 00:32
提示: 作者被禁止或删除 内容自动屏蔽
作者: lintel    时间: 2007-8-11 10:56
但是为什么我可以查出来?
作者: magical_li    时间: 2007-8-11 14:35
老鼠好强啊……………………
还有123jj…………

啥时候教教我???
还有,
、老p呀………………强人要叫jj不是mm………………
作者: 紫狐    时间: 2007-8-11 15:22
原帖由 pandorak 于 2007-8-10 01:45 PM 发表
很是奇怪............没升级的巡洋舰能识别出是病毒.......升完级的却一个都检测不到.........:L :L



估计是加了密码的缘故。
作者: pandorak    时间: 2007-8-11 20:09
提示: 作者被禁止或删除 内容自动屏蔽



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3