VT Detection ratio: 3 / 47 pdqjcnrsctvtvqwkuwb.bfg explorer添加启动项？

雨宫优子

绕过组策略的方法本来就有一堆一堆的 更何况基本用户的权限 drop的还是不完全

无我灭境

雨宫优子 发表于 2013-6-10 23:04
基本用户还是能注入 你可以试试demo

病毒还是注入成功了

啊？你测试的是哪个样本，怎么文件名是233.exe

雨宫优子

无我灭境 发表于 2013-6-10 23:10
啊？你测试的是哪个样本，怎么文件名是233.exe

pdqjcnrsctvtvqwkuwb这个

默认后缀 不调用API直接拿explorer或者cmd执行不了 所以就全改名了

无我灭境

雨宫优子 发表于 2013-6-10 23:24
pdqjcnrsctvtvqwkuwb这个

默认后缀 不调用API直接拿explorer或者cmd执行不了 所以就全改名了

我又测试了一次，表面现象如图所示，实际造成的影响不清楚，自我感觉无异常。

雨宫优子

无我灭境 发表于 2013-6-11 00:13
我又测试了一次，表面现象如图所示，实际造成的影响不清楚，自我感觉无异常。

你可能有其它的规则阻止了它的某些行为或者运行环境达不到要求

我刚才注意到你是explorer也弄了基本用户 因此同样改了explorer为基本用户 但是使用EQ测试显示还是被注入而且有行为

但是至少explorer同样被限制的话 注入了explorer也没意义了 没达到提权目的

无我灭境

雨宫优子 发表于 2013-6-11 01:17
你可能有其它的规则阻止了它的某些行为或者运行环境达不到要求

我刚才注意到你是explorer也弄了基本用 ...

哦哦，不被提权就行，这样可能造成的危害也大不到哪去。explorer设为基本用户运行是必须的，以前气流大神就放出一个测试程序提醒过咱啊

dfliaoyue

bbzwj 发表于 2013-6-7 14:36
这是gapz型高级注入病毒，以下是核心代码：
#include
#include

这段代码为什么编译错误呢？g++显示没有winternl.h头文件，vs显示无法解析的外部命令

穿越星空

雨宫优子 发表于 2013-6-10 03:01
费了我九牛二虎之力才编译成功了100楼的代码

【看到那个WDK的大小实在不想下。。于是折腾了半天才找齐和 ...

我想问下，这种注入是利用了系统漏洞还是系统原有的功能？注入之后有什么现象吗？是不是无线程？