竹杠一枚

Qutianshang

深山红叶__ 发表于 2014-6-23 14:42
samr管道肯定可以，早先试过了
但是由于有些正常进程的正常操作也会通过samr管道进行传输，所以会影响 ...

ok了，已经完全可以了

sunnyjianna

EAV7  拦截web防护中止下载：https://att.kafan.cn/forum.php?mo ... Dg4OTM0NHwxNzQ5NjA0        Win32/AddUser.Q 特洛伊木马 的变种        连接中断 - 已隔离        通过应用程序访问 web 时检测到威胁: D:\已安装\世界之窗\TheWorld6\Application\TheWorld.exe.
https://att.kafan.cn/forum.php?mo ... Dg4OTM0NHwxNzQ5NjA0 > RAR > 给我吧.exe        Win32/AddUser.Q 特洛伊木马 的变种        连接中断 - 已隔离       

HOOKing...

Qutianshang 发表于 2014-6-22 22:35
有密码的
设置系统用户：想知道密码请联系QQ1401517499
设置系统用户：760963220

试了下，有远程获取
帐号还有一个是2开头的Q
是从一个论坛取的东西。

Qutianshang

HOOKing... 发表于 2014-6-23 17:41
试了下，有远程获取
帐号还有一个是2开头的Q
是从一个论坛取的东西。

怎么获取的？

HOOKing...

Qutianshang 发表于 2014-6-23 17:45
怎么获取的？

ASCII "http://tan.13rj.com/yj/tan/1.htm"
你把1换成2，3，11，22，挨个直接访问下就知道了
上边就是这个竹杠访问获取的几个地址
不过感觉这就是个失败的作品
也或许是我分析不详细的原因。。。。

Qutianshang

HOOKing... 发表于 2014-6-23 17:51
ASCII "http://tan.13rj.com/yj/tan/1.htm"
你把1换成2，3，11，22，挨个直接访问下就知道了
上边就是 ...

这个地址你是怎么分析出来的，分享一下啊

HOOKing...

Qutianshang 发表于 2014-6-23 18:01
这个地址你是怎么分析出来的，分享一下啊

拉到OD里边就有了啊
我本来是想找密码的，结果看到你找到了，我就没继续了

Qutianshang

HOOKing... 发表于 2014-6-23 19:03
拉到OD里边就有了啊
我本来是想找密码的，结果看到你找到了，我就没继续了

od不大会用

HOOKing...

Qutianshang 发表于 2014-6-23 19:17
od不大会用

用多了就好了。。。
我也不怎么会
就没事逗自己玩

Qutianshang

HOOKing... 发表于 2014-6-23 19:19
用多了就好了。。。
我也不怎么会
就没事逗自己玩

话说用OD打开之后，在哪里找这个网址链接，我看了半天没有找到