查看: 7116|回复: 42
收起左侧

[病毒样本] 批处理恶意代码测试[MD5: F9D359]

  [复制链接]
bluewing009
发表于 2011-2-16 10:17:33 | 显示全部楼层 |阅读模式
本帖最后由 bluewing009 于 2011-2-17 00:09 编辑

这个是使用批处理来编写的一个  额 ... 自由选择类工具

本意是用来提供一个我写的修复工具的效果测试的样本下载                              传送门
大家也可以测试一下安全软件的效果

说明:
通过修改注册表敏感键值来实现影响系统
本身没问题,安全。 但是生成的 v-test.bat 有修改效果
对于一些云....  大家可以把生成的 进行上传...附件就免了(附件只是生成而已,本身安全)..
采用变量替换,每次都不同,26!排列。虽然这样,对于命令解释器还是同一个这样对于一些只检查表面代码的比较有效果
请先运行(附件安全),然后可以选择个项目,生成。然后测试生成的 v-test.bat 文件

提示:
如果 有安全提示,请选择 不要终止进程(cmd.exe),以便统计拦截数量
只是修改注册表项目,对数据没有影响
过程中会占用系统资源....建议实机生成,虚拟机测试



初步看到有一些没有任何提示的就过了.....
希望测试有效果的 能把拦截数量(次数,因为有多个功能,多个注册表项,并不是每个注册表项都能监控到的),安全软件的名称回复一下......嘿嘿...想让大家对批处理也偶尔注意一下....


附件(本身安全,但是生成的v-test.bat会修改系统):   


这个是回显版本,可以显示命令是否成功执行   

z2009
发表于 2011-2-16 12:08:05 | 显示全部楼层
本帖最后由 z2009 于 2011-2-16 12:10 编辑

生成的批处理在运行后都是被拒绝


bluewing009
 楼主| 发表于 2011-2-16 12:23:59 | 显示全部楼层
回复 2楼 z2009 的帖子

这个是一个循环......
taskkill explorer和taskmgr
这个已经是最后了  本来加了个 /min 不知道怎么会最大化的....
前面的实际上已经执行完了
XMonster
发表于 2011-2-16 14:19:48 | 显示全部楼层
bluewing009 发表于 2011-2-16 12:23
回复 2楼 z2009 的帖子

这个是一个循环......

2011/2/16 14:17:45    读文件    阻止
进程: c:\windows\system32\cmd.exe
目标: D:\下载\批处理测试生成\批处理测试生成.bat
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

2011/2/16 14:17:45    读文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Windows\System32\zh-CN\KernelBase.dll.mui
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

2011/2/16 14:17:45    读文件    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Windows\System32\en-US\KernelBase.dll.mui
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

2011/2/16 14:17:45    读文件夹    阻止
进程: c:\windows\system32\cmd.exe
目标: D:
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*

2011/2/16 14:17:45    读文件夹    阻止
进程: c:\windows\system32\cmd.exe
目标: D:\下载
规则: [应用程序组]Program[01]_黑名单组 -> [文件组]Files[01]_所有文件 -> [文件]*
黑羽
发表于 2011-2-16 14:30:13 | 显示全部楼层
hitman和胶囊均无视
xwhmm
头像被屏蔽
发表于 2011-2-16 14:52:08 | 显示全部楼层
毒霸安全........
zhengsam
发表于 2011-2-16 17:01:07 | 显示全部楼层
悲剧啊,没反应
bluewing009
 楼主| 发表于 2011-2-16 18:41:24 | 显示全部楼层
回复 4楼 dm34343667 的帖子

说白了 附件是个生成工具,你先生成再说......
这样直接拦截....
dragoonwing
发表于 2011-2-16 19:07:41 | 显示全部楼层


运行生成物后,不停的循环图片中的指令,但是系统没有任何变化,这表示没有拦截成功?
飞翔企鹅
头像被屏蔽
发表于 2011-2-16 19:53:15 | 显示全部楼层
恢复工具呢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 23:28 , Processed in 0.129877 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表