玩玩火眼，真是亮瞎了我的狗眼

显示全部楼层 · 发表于 2013-4-23 14:19:11

本帖最后由 hez2010 于 2013-4-23 14:21 编辑

看看（有点恐怖）：
http://fireeye.ijinshan.com/anal ... 575&type=1#full

我编的一个bat垃圾实时清理程序，被分析成了这样，另外有一个亮点，就是火眼分析那边居然有一个QQ历史记录，号码为2653170047，你懂得。。。。。。

话说火眼有点敏感

公布bat程序代码：

@echo off
Setlocal enabledelayedexpansion
Mode con cols=50 lines=12
Title 清理垃圾文件 !date:~5,2!月!date:~8,2!日 !time:~0,2!时!time:~3,2!分!time:~6,2!秒
Color 3F
set /a a=0
set /a b=0
set /a c=0
set /a d=0
set /a e=0
set /a f=0
set /a f=(!i!+!h!)*10/!b!
cls
if !f!==0 set g=
if !f!==1 set g=■
if !f!==2 set g=■■
if !f!==3 set g=■■■
if !f!==4 set g=■■■■
if !f!==5 set g=■■■■■
if !f!==6 set g=■■■■■■
if !f!==7 set g=■■■■■■■
if !f!==8 set g=■■■■■■■■
if !f!==9 set g=■■■■■■■■■
if !f!==10 set g=■■■■■■■■■■
echo;
echo 当前发现 !b! 个垃圾文件, 扫描次数: !c! 次
echo;
echo 共发现垃圾: !a! 个
echo;
echo 成功清理: !d! 个, 失败: !e! 个
echo ▁▁▁▁▁▁▁▁▁▁
echo 清理进度 ▕!g!▏
echo ▔▔▔▔▔▔▔▔▔▔
:1
set /a b=0
echo;>ljql.txt
for %%x in (
"历史 Recent 文件 : %APPDATA%\Microsoft\Windows\Recent"
"用户临时文件 : %temp%"
"Windows 临时文件 : %windir%\temp"
"已下载的程序 : %windir%\download program files"
"Windows 预读文件 : %windir%\prefetch"
"Windows 更新补丁文件 : %windir%\softwaredistribution\download"
"内存转储文件 : %windir%\Minidump"
"Office 安装缓存文件 : %SYSTEMDRIVE%\MSOCache"
"IE 临时文件 : %userprofile%\Local Settings\Temporary Internet Files"
"IE 临时文件 : %systemdrive%%HOMEPATH%\AppData\Local\Microsoft\Windows\Temporary Internet Files"
"缩略图缓存文件 : %systemdrive%%HOMEPATH%\AppData\Local\Microsoft\Windows\Explorer"
"Windows 问题报告文件 : %systemdrive%%HOMEPATH%\AppData\Local\Microsoft\Windows\WER"
"搜狗浏览器临时文件 : %appdata%\SogouExplorer\Webkit\Cache"
"搜狗浏览器临时文件 : %appdata%\SogouExplorer\Webkit\Cache2"
"火狐浏览器临时文件 : %userprofile%\AppData\Local\Mozilla\Firefox\Profiles\xouqwqnx.default\Cache"
"Opera 浏览器临时文件 : %userprofile%\AppData\Local\Opera\Opera\cache"
"QQ浏览器临时文件 : %appdata%\Tencent\QQBrowser\webkit_cache"
"Google Chrome浏览器临时文件 : %systemdrive%%HOMEPATH%\AppData\Local\Google\Chrome\User Data\Default\Cache"
"搜狗浏览器视频加速缓存文件 : %appdata%\SogouExplorer\SogouVideoCache"
"QQ 缓存文件 : %appdata%\Tencent\QQ\Temp"
"QQ 缓存文件 : %appdata%\Tencent\QQ\AuTemp"
"QQ 缓存文件 : %appdata%\Tencent\Logs"
) do (
Title 清理垃圾文件 !date:~5,2!月!date:~8,2!日 !time:~0,2!时!time:~3,2!分!time:~6,2!秒
for /f "tokens=1,* delims=:" %%i in ("%%x") do (
set name_temp=%%i
set name_=!name_temp:~1,-1!
set path_temp=%%j
set path_=!path_temp:~1,-1!
if exist "!path_!" dir /a-d /s /-c /b "!path_!">>ljql.txt 2>nul
)
)
findstr /v ^^! ljql.txt>ljql2.txt
del /f /q ljql.txt >nul 2>nul
ren ljql2.txt ljql.txt 2>nul
set /a b=0
set /a c+=1
for /f "tokens=*" %%a in ('type ljql.txt') do (
Title 清理垃圾文件 !date:~5,2!月!date:~8,2!日 !time:~0,2!时!time:~3,2!分!time:~6,2!秒
set /a b+=1
) 2>nul
set /a a+=!b!
call :2
goto 1
:2
if not !b!==0 call :3
set /a f=0
set /a f=^(!i!+!h!^)*10/!b!
cls
if !f!==0 set g=
if !f!==1 set g=■
if !f!==2 set g=■■
if !f!==3 set g=■■■
if !f!==4 set g=■■■■
if !f!==5 set g=■■■■■
if !f!==6 set g=■■■■■■
if !f!==7 set g=■■■■■■■
if !f!==8 set g=■■■■■■■■
if !f!==9 set g=■■■■■■■■■
if !f!==10 set g=■■■■■■■■■■
echo;
echo 当前发现 !b! 个垃圾文件, 扫描次数: !c! 次
echo;
echo 共发现垃圾: !a! 个
echo;
echo 成功清理: !d! 个, 失败: !e! 个
echo ▁▁▁▁▁▁▁▁▁▁
echo 清理进度 ▕!g!▏
echo ▔▔▔▔▔▔▔▔▔▔
goto :eof
:3
set /a h=0
set /a i=0
for /f "tokens=*" %%b in ('type ljql.txt') do (
Title 清理垃圾文件 !date:~5,2!月!date:~8,2!日 !time:~0,2!时!time:~3,2!分!time:~6,2!秒
del /a /f /q "%%b" >nul 2>nul
if not exist "%%b" set /a d+=1&set /a h+=1
if exist "%%b" set /a e+=1&set /a i+=1
set /a f=0
set /a f=^(!i!+!h!^)*10/!b!
cls
if !f!==0 set g=
if !f!==1 set g=■
if !f!==2 set g=■■
if !f!==3 set g=■■■
if !f!==4 set g=■■■■
if !f!==5 set g=■■■■■
if !f!==6 set g=■■■■■■
if !f!==7 set g=■■■■■■■
if !f!==8 set g=■■■■■■■■
if !f!==9 set g=■■■■■■■■■
if !f!==10 set g=■■■■■■■■■■
echo;
echo 当前发现 !b! 个垃圾文件, 扫描次数: !c! 次
echo;
echo 共发现垃圾: !a! 个
echo;
echo 成功清理: !d! 个, 失败: !e! 个
echo ▁▁▁▁▁▁▁▁▁▁
echo 清理进度 ▕!g!▏
echo ▔▔▔▔▔▔▔▔▔▔
)
goto :eof

复制代码

复制下来保存为bat格式，以管理员权限运行，即可实时清理垃圾文件（就是cpu、内存占用有点大，毕竟要反复扫描嘛 = =）

显示全部楼层 · 发表于 2013-4-23 14:51:56

没觉得有多恐怖。火眼本来就是分析行为的。

显示全部楼层 · 发表于 2013-4-23 14:58:50

支持2楼.

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0 (zh-CN)
——2013年4月23日 14:58:49

显示全部楼层 · 发表于 2013-4-23 15:51:45

支持楼上……

显示全部楼层 · 发表于 2013-4-23 16:09:41

不懂~~

显示全部楼层 · 发表于 2013-4-23 16:20:39

你这标题亮瞎你的狗眼

显示全部楼层 · 发表于 2013-4-23 16:27:08

本帖最后由奇迹虎_QIHOO 于 2013-4-23 16:28 编辑

用过几次火眼，真没觉得有什么用处

傅盛说火眼是给专业人士用的工具，我不算专业人士，连我都觉得分析的内容根本没什么用。。。
专业人士会用么。。。

显示全部楼层 · 发表于 2013-4-23 16:40:53

真小读者发表于 2013-4-23 14:51
没觉得有多恐怖。火眼本来就是分析行为的。

清理个垃圾,被他识别成启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程，我直接无语了，不就调用了个findstr.exe查找文件么。。。
还有那个在其他进程中申请内存，实际上就改了个程序窗口的长宽，，，
遍历文件危险等级居然是②

我自己编的分析程序的分析结果:
风险动作 3 个,高风险动作 0 个,可疑程度: 0%,总体危险等级:两星

批处理动作分析报告 by 批处理风险动作分析 2013 Service Pack 3
分析文件: "D:\Users\hez2010\Desktop\My Files\10.bat"
==============================================
此批处理的风险动作:
危险等级: 60 % 行为: 删除文件对应代码: del /f /q ljql.txt >nul 2>nul
危险等级: 60 % 行为: 删除文件对应代码: del /a /f /q "%b" >nul 2>nul
危险等级: 20 % 行为: 搜索字符串对应代码: findstr /v ^ ljql.txt>ljql2.txt
危险等级: 40 % 行为: 重命名文件对应代码: ren ljql2.txt ljql.txt 2>nul
==============================================
统计: 该文件中共有动作 93 个, 其中包含有风险动作 3 个, 高风险动作有 0 个, 可疑程度: 0 %. 该文件中存在一些中毒危险的动作, 总体危险等级: ★★☆☆☆, 轻度危险.

复制代码

显示全部楼层 · 发表于 2013-4-23 17:31:15

那个QQ号码以前大金鱼和MJ早就枚举到了的，火眼安装了很多软件包括QQ来模拟环境啊

显示全部楼层 · 发表于 2013-4-23 17:34:46

学习来的