自己去年做的远控 看看还能秒多少！！！

yiren

li13911 发表于 2014-3-16 19:28
楼主，你用压缩炸弹来规避国内杀软的捕捉，却偏偏被小A抓个正着，专杀压缩炸弹啊

是炸弹吗？为何我这边就显示一个30M的迅雷尊享版？双击之后也没有反应，我只是阻止了外联。

XywCloud

解压出来的最终的玩意1.exe大小约为35M，很大，高度目测是当时为了逃避云查杀的。
过大的文件bav、巡警以及费尔都不扫描的
用重构pe的东西重构了下，把那些水分去掉，文件只有76kb左右了。
重构的文件被巡警启发杀掉了。

主防这玩意真心不想测了，我这边虚拟机最近出了点问题

li13911

yiren 发表于 2014-3-16 19:33
是炸弹吗？为何我这边就显示一个30M的迅雷尊享版？双击之后也没有反应，我只是阻止了外联。

楼主给的是一个7z格式自解压安装包（你用好压或者7z打开就可以看到），运行后，释放1.rar和1.vbs到D盘根目录并运行1.vbs。1.rar是一个带密码的压缩炸弹，用来规避国内杀软的查杀和上传。  1.vbs部分代码如下：

1. OBJWSH.RUN "WINRAR X -O+ -Prsin D:\1.rar 1.EXE D:" ,0,TRUE
   
2. OBJWSH.RUN "D:\1.EXE D:" ,0,TRUE

复制代码

调用WINRAR命令行程序加压1.rar得到1.exe并运行，楼主居然用自己的ID做密码。你可以看一下楼下的分析，实际很小，文件末端用0填充躲避查杀和上传。

---

Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/25.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:8月12日08:00发布　
—— 今天星期一(8月12日) 阴 34℃～25℃ 南风 微风   
—— 明天星期二(8月13日) 多云 35℃～26℃ 南风 微风
—— 发帖时间：现在是2014年03月16日 第1季度 星期天 19时45分00秒848毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

yiren

li13911 发表于 2014-3-16 19:44
楼主给的是一个7z格式自解压安装包（你用好压或者7z打开就可以看到），运行后，释放1.rar和1.vbs到D盘根 ...

我看见了，就想知道如果压缩炸弹运行了肿么办？

li13911

yiren 发表于 2014-3-16 19:46
我看见了，就想知道如果压缩炸弹运行了肿么办？

运行了就是病毒运行了呗，这种病毒远控  防火墙很容易搞定的，直接阻断结束进程就可以了，还不放心手动删除就好，所以在国内防火墙必不可少，防毒倒是其次，防国内各种捆绑的downloader很不错。

---

Mozilla/5.0 (Windows NT 6.1; rv:25.0) Gecko/20100101 Firefox/25.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:8月12日08:00发布　
—— 今天星期一(8月12日) 阴 34℃～25℃ 南风 微风   
—— 明天星期二(8月13日) 多云 35℃～26℃ 南风 微风
—— 发帖时间：现在是2014年03月16日 第1季度 星期天 19时51分10秒828毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

Luca.l

Q管，百度安全

sk3385

火绒杀！！！！

yiren

li13911 发表于 2014-3-16 19:51
运行了就是病毒运行了呗，这种病毒远控  防火墙很容易搞定的，直接阻断结束进程就可以了，还不放心手动 ...

嗯嗯，thanks！

化石MM

在windows7下病毒无法运行

仙剑问情

管家
安全