收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 COMODO 想不明白为啥CloseMonitor.exe居然是病毒?
12
返回列表 发新帖
楼主: danielhugo
 收起左侧

[讨论] 想不明白为啥CloseMonitor.exe居然是病毒?

[复制链接]
danielhugo
 楼主| 发表于 2012-11-27 23:06:56 | 显示全部楼层
本帖最后由 danielhugo 于 2012-11-27 23:17 编辑
x-天秤座 发表于 2012-11-27 17:38
是的,它修改IE的主页和搜索。


神奇了,我XP SP3关掉红豆运行过好多次,IE主页还是about:blank,搜索还是Live Search……它修改成什么来着?

P.S.看来我太掉以轻心了,以为在小众下的软件而且只有1k不会有毒……
回复

举报

danielhugo
 楼主| 发表于 2012-11-27 23:12:21 | 显示全部楼层
wehiue 发表于 2012-11-27 22:52
为什么会报不知道,我这有不报的
这个要报毒就可以肯定是100%误报了~~

我对比了一下二进制,发现我的程序比你的程序多调用了个USER32.wsprintfA的函数(写入缓冲区),难道是要脱壳?求大虾指教……
回复

举报

wehiue
发表于 2012-11-28 00:55:18 | 显示全部楼层
本帖最后由 wehiue 于 2012-12-2 17:48 编辑
danielhugo 发表于 2012-11-27 23:12
我对比了一下二进制,发现我的程序比你的程序多调用了个USER32.wsprintfA的函数(写入缓冲区),难道是要 ...


你那个我看了一下,程序根本就没调用wsprintfA,小程序是拿汇编写的,可能编译后某部分与某病毒特征码类似吧,那个的源码应该与下面的类似
option casemap:none
  .386
  .model        flat,stdcall

include         windows.inc
include         kernel32.inc
includelib      kernel32.lib
include         user32.inc
includelib      user32.lib

.code
start:       
        invoke Sleep,255
        invoke SendMessageA,HWND_BROADCAST,WM_SYSCOMMAND,SC_MONITORPOWER,2
        invoke ExitProcess,0
end        start
用 'ML /coff /link /SUBSYSTEM:WINDOWS' 编译后用virscan扫描就有两个杀毒软件报毒,把invoke Sleep,255去了就没报毒的了,而那句只是做了个延时,综上,应该是属于误报~~
回复

举报

x-天秤座
发表于 2012-11-28 21:02:49 | 显示全部楼层
danielhugo 发表于 2012-11-27 23:06
神奇了,我XP SP3关掉红豆运行过好多次,IE主页还是about:blank,搜索还是Live Search……它修改成什么 ...

不好意思,我用的是它一个更新的版本,可以定时关屏幕那种,那个版本有我说的那些问题,你这个,我刚下载测试,没有那些流氓行为。
回复

举报

danielhugo
 楼主| 发表于 2012-12-1 22:21:21 | 显示全部楼层
本帖最后由 danielhugo 于 2012-12-1 22:24 编辑
wehiue 发表于 2012-11-28 00:55
你那个我看了一下,程序根本就没调用wsprintfA,小程序是拿汇编写的,可能编译后某部分与某病毒特征码类 ...


我用OllyDBG看是有调用wsprintfA的,虽然不知道它写入了什么……话说为什么Sleep,255会报毒?还有就是为什么这个程序要用到Sleep?直接发消息不就完了吗?

还有为什么毛豆的测试人员不承认这是误报?如果ls分析无误的话……
回复

举报

wehiue
发表于 2012-12-2 06:20:02 | 显示全部楼层
本帖最后由 wehiue 于 2012-12-2 20:37 编辑
danielhugo 发表于 2012-12-1 22:21
我用OllyDBG看是有调用wsprintfA的,虽然不知道它写入了什么……话说为什么Sleep,255会报毒?还有就是为 ...



我这看到的是只CALL了2次就执行到ExitProcess(0),那个wsprintfA根本没用上,不知道是不是连接.obj时某个参数造成的
Sleep可能是为了防止点击图标后手又抖了一下,导致屏幕关上后又立即打开
为啥报毒我就真说不清楚了,这个程序我改了半天结构还是有两个杀软报毒,我也没办法了
为啥不承认那你得去问毛豆的工程师了
最终改完也就这样了,反正毛豆是不报了
发现件奇怪的事,把子系统从WINDOWS改为CONSOLE(偏移0x60从02改为03)后就只有一个报毒了~~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

yikernel
发表于 2012-12-5 10:19:46 | 显示全部楼层
hx1997 发表于 2012-11-26 19:58
??没看到啥危险代码...

反编译成C++ 了?、、、、
回复

举报

yikernel
发表于 2012-12-5 10:21:27 | 显示全部楼层
hx1997 发表于 2012-11-26 19:58
??没看到啥危险代码...

好吧。。。 没注意是伪代码- -
回复

举报

hx1997
发表于 2012-12-5 20:10:25 | 显示全部楼层
本帖最后由 hx1997 于 2012-12-5 20:13 编辑
danielhugo 发表于 2012-12-1 22:21
我用OllyDBG看是有调用wsprintfA的,虽然不知道它写入了什么……话说为什么Sleep,255会报毒?还有就是为 ...


那个 jmp wsprinfA 不执行,只是用于 call 时从导入地址表跳到真实函数地址而已。

程序没有 call wsprinfA,所以这句没什么用。
回复

举报

danielhugo
 楼主| 发表于 2012-12-7 21:30:04 | 显示全部楼层
hx1997 发表于 2012-12-5 20:10
那个 jmp wsprinfA 不执行,只是用于 call 时从导入地址表跳到真实函数地址而已。

程序没有 call ws ...

这难道是花指令???

还是不懂为啥毛豆不承认误报,不知道有没有官人混卡饭的解释下?
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-10-23 05:34 , Processed in 0.113315 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表