楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
qftest
 楼主| 发表于 2014-3-4 10:25:49 | 显示全部楼层
墨家小子 发表于 2014-3-4 08:43
这个截图不能说明问题,因为werfault跟mon20.exe没有联系,这个是不是运行报错的提示

werfault.exe是由mon20.exe创建的进程,按comodo的说法是“被控制执行”的子程序、代表了mon20.exe意志


C:\测试\mon20疑似注入\mon20.exe         创建进程         C:\测试\mon20疑似注入\mon20.exe
C:\测试\mon20疑似注入\mon20.exe         修改文件         C:\ProgramData\CreativeAudio
C:\测试\mon20疑似注入\mon20.exe         修改文件         C:\ProgramData\CreativeAudio\desktop.ini
C:\测试\mon20疑似注入\mon20.exe         修改文件         C:\测试\mon20疑似注入\mon20.exe
C:\测试\mon20疑似注入\mon20.exe         修改文件         C:\ProgramData\CreativeAudio\mwvaztybt.exe
C:\测试\mon20疑似注入\mon20.exe         修改文件         C:\ProgramData\CreativeAudio\mwvaztybt.exe:Zone.Identifier
C:\测试\mon20疑似注入\mon20.exe         修改注册表项         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mwvaztybt.exe
C:\测试\mon20疑似注入\mon20.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC\CG1
C:\测试\mon20疑似注入\mon20.exe         修改注册表项         HKUS\Software\Classes\CLSID
C:\测试\mon20疑似注入\mon20.exe         修改注册表项         HKUS\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}
C:\测试\mon20疑似注入\mon20.exe         修改注册表项         HKUS\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC
C:\测试\mon20疑似注入\mon20.exe         修改注册表项         HKUS\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC\CG1
C:\测试\mon20疑似注入\mon20.exe         修改注册表项         HKUS\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC\CG1\BID
C:\测试\mon20疑似注入\mon20.exe         创建进程         C:\windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKLM\SYSTEM\ControlSet???\Services\SSDPSRV
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\2500
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC\CS1
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC\CW1
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC\CW1\776
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\CreativeAudio
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\CreativeAudio
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC\CG1
C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Windows\explorer.exe
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\Software\Classes\CLSID\{B12CEC53-2A95-5B4A-9A23-30DBC9072C47}\0E7302EC\CG1\GLA
C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Windows\System32\VBoxTray.exe
C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\Windows\SysWOW64\WerFault.exe         修改文件         \Device\Afd\Endpoint
C:\Windows\SysWOW64\WerFault.exe         修改文件         C:\ProgramData\CreativeAudio\mwvaztybt.exe
C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Windows\explorer.exe
C:\Windows\SysWOW64\WerFault.exe         访问COM接口         C:\Windows\System32\svchost.exe
C:\Windows\SysWOW64\WerFault.exe         修改文件         C:\ProgramData\CreativeAudio
C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Windows\System32\VBoxTray.exe
C:\Windows\SysWOW64\WerFault.exe         修改文件         C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\CreativeAudio
C:\Windows\SysWOW64\WerFault.exe         修改文件         C:\Users\Kafan\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3230559599-2187368653-2364514255-1001\3ca223180d0145d80b6aa4610078e904_a90dfb37-7cc6-46c6-b8b1-c8aea52c17d2
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\CreativeAudio


后面还有很多日志就不复制上来了
墨家小子
发表于 2014-3-4 10:27:56 | 显示全部楼层
qftest 发表于 2014-3-4 10:25
werfault.exe是由mon20.exe创建的进程,按comodo的说法是“被控制执行”的子程序、代表了mon20.exe意志
...

我去 我服了 看你的日志 我确信是mon20.exe注入WerFault.exe 了

你什么系统?
qftest
 楼主| 发表于 2014-3-4 10:32:25 | 显示全部楼层
墨家小子 发表于 2014-3-4 10:27
我去 我服了 看你的日志 我确信是mon20.exe注入WerFault.exe 了

你什么系统?

都说了我是win8x64怎么又问一次
我感觉像是被注入了,虽然提示是访问内存,comodo为什么不直接点说
墨家小子
发表于 2014-3-4 10:36:39 | 显示全部楼层
qftest 发表于 2014-3-4 10:32
都说了我是win8x64怎么又问一次
我感觉像是被注入了,虽然提示是访问内存,comodo为什么不直接点 ...

我擦 win8 X64也能运行 哈哈哈哈 我赚到了我 多谢小q测试
能不能把你日志截图给我?
墨家小子
发表于 2014-3-4 10:37:03 | 显示全部楼层
qftest 发表于 2014-3-4 10:32
都说了我是win8x64怎么又问一次
我感觉像是被注入了,虽然提示是访问内存,comodo为什么不直接点 ...

你是win8 X64开影子测试的吗?
qftest
 楼主| 发表于 2014-3-4 10:44:50 | 显示全部楼层
墨家小子 发表于 2014-3-4 10:37
你是win8 X64开影子测试的吗?

由于我想跟踪完成后方便查看以完善vse规则,所以日志是手动保存为txt的,没有截图
没有开影子,只有快照,测一次还原一次快照
墨家小子
发表于 2014-3-4 10:45:58 | 显示全部楼层
qftest 发表于 2014-3-4 10:44
由于我想跟踪完成后方便查看以完善vse规则,所以日志是手动保存为txt的,没有截图
没有开影子,只有快照 ...

哦 你是win8 X64 虚拟机啊?
qftest
 楼主| 发表于 2014-3-4 10:46:49 | 显示全部楼层
墨家小子 发表于 2014-3-4 10:45
哦 你是win8 X64 虚拟机啊?

对啊,Vbox虚拟机,可不敢实机测毒
墨家小子
发表于 2014-3-4 10:50:33 | 显示全部楼层
qftest 发表于 2014-3-4 10:46
对啊,Vbox虚拟机,可不敢实机测毒

弱爆了你小q
哥现在进挂马网页都是实机
qftest
 楼主| 发表于 2014-3-4 10:51:37 | 显示全部楼层
墨家小子 发表于 2014-3-4 10:50
弱爆了你小q
哥现在进挂马网页都是实机

。。。。反纯表情补丁
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 12:48 , Processed in 0.116647 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表