搜索
查看: 41163|回复: 84
收起左侧

[成员招募] ★★★ 缉毒卫队 ★★★ 成员招募专贴 【禁水&非申请勿回复】

  [复制链接]
翼风Fly
发表于 2015-10-31 13:11:29 | 显示全部楼层 |阅读模式
本帖最后由 翼风Fly 于 2017-1-20 08:13 编辑

缉毒卫队,一个以病毒技术分析为依托的民间团队,现在开始人员招募!
发起人:@学雷锋做人

包含团队名称在内,本篇内容尚有许多不足待修正更新,若有更好意见欢迎提出。

请勿灌水,相关讨论请在讨论专帖或 缉毒卫队 版区进行,欢迎吐槽

讨论专贴&更多信息:http://bbs.kafan.cn/thread-1860748-1-1.html

缉毒卫队·使命

常言道,知己知彼,百战不殆。杀软失效,需要我们通过经验与智慧手刃病毒。
刨病解毒,是我们不容推卸的使命。

我们的活动内容:
  • 基于卡饭环境,加强行为分析(可以根据情况入门普及)甚至逆向分析(虽然吾爱破解论坛更多,但不适合入门)等技术性分析方式;
  • 为技术分析提供讨论。基于样本区/评测区/救援区并统合其内容,作出技术性导向,而非单纯报告某样本在某杀软的查杀结果;辅助探讨HIPS/虚拟机及相关辅助工具,增强对应知识与能力;
  • 提供有价值的安全知识科普。

如果您符合以下条件,欢迎加入我们!
  • 具备对病毒分析的热情;
  • 具备对病毒进行分析的能力。需要您具备良好的基础,至少具备一定的行为分析能力。包括但不限于:虚拟机、进程、注册表等知识,看得懂火眼、哈勃、魔盾等在线分析报告,运用PC Hunter、火绒剑等工具解决与分析问题;

成员要求:
  • 友善相处,理性探讨;互助分享,大气谦和;
  • 平等、客观对待安全工具尤其杀软,而不是引发无意义的争吵口水;
  • 考虑到大家的时间或经验局限,在线时长及发帖数量不作过多要求,但至少保证能够参与团队活动;
  • 遵守卡饭坛规版规。珍惜你账号的,不是只有你一个人;
  • 注册时长≥60天,且用户组为 正式会员 及以上;优秀者可例外。
  • 魅力≥0;若不符合条件,将视情况考察而定。

我们区别于现有的 安软顾问团队 有哪些?
  • 安软顾问团队 是以安软讨论为主的团队,我们是以病毒分析为主;
  • 因为我们是以讨论病毒分析的技术导向团队,在该方面会比 安软顾问团队 有更多的侧重与要求。

了解更多 缉毒卫队 的信息,请进入讨论专贴以及 缉毒卫队 版区。:
http://bbs.kafan.cn/thread-1860748-1-1.html


缉毒卫队·成员


联合创始人:
@lixihong10  (队长)
@学雷锋做人  (发起人)
@尘梦幽然
@电脑发烧友
翼风Fly

以及:
ExitProcess ( AntiRookit4Dream 作者)

新晋成员名单将于已置顶的14楼公布

缉毒卫队·申请格式

普通格式如下:

ID:xxx
是否有分析病毒的热情:有
对 进程/注册表 的了解程度:了解 / 熟悉 / 熟知
对 行为分析 是否了解: 了解 / 熟悉  / 熟练
对 逆向分析 是否了解: 不了解 / 了解 / 熟悉 / 熟练
使用过的安全相关工具:虚拟机 / ARK工具(如PC Hunter) / 在线行为沙箱(如金山火眼、腾讯哈勃)/ HIPS工具(如 COMODO Defense+)/ 逆向相关 (如OllyDbg、PEiD等) /其他安全工具(请列举)
加分项:网络方向、安卓方向、软件开发方向(可在站内信PM中回复)
活跃的论坛/博客等:xxx
对自己的描述:xxxxx
经常活跃的版区:样本区 / 救援区 / 答疑区 / XXX
擅长/爱好:XXXX
其它:XXX
若您有对某病毒的分析报告,请另开一楼或附注链接。






评分

参与人数 4人气 +4 收起 理由
学雷锋做人 + 1 写得很不错!
villana + 1 版区有你更精彩: )
wjy19800315 + 1 很给力!
尘梦幽然 + 1

查看全部评分

翼风Fly
 楼主| 发表于 2015-11-5 03:59:14 | 显示全部楼层
本帖最后由 翼风Fly 于 2016-12-29 00:16 编辑

本楼层将公布审核情况
更新于 2016-12-29



正在审核


目前审核:无

审核期将根据各会员情况及审核成员时间安排,可能会有不定的延时,请大家注意短消息。如果您在其他论坛/博客等有相关参考链接,可以帮助您加速审核。


已通过审核
















翼风Fly
 楼主| 发表于 2015-10-31 13:11:55 | 显示全部楼层
本帖最后由 翼风Fly 于 2015-11-2 17:57 编辑

楼下都在提供技术分析贴,近期太忙,就来一个现成的吧
http://bbs.kafan.cn/thread-1856719-1-1.html


如果能看懂我的这点分析,行为分析就没什么鸭梨了

就算不懂,说几句也能懂

所以,不要想的太复杂。欢迎加入!

尘梦幽然
发表于 2015-11-1 12:47:47 | 显示全部楼层
本帖最后由 尘梦幽然 于 2015-11-1 21:27 编辑

引进赛门铁克、趋势科技和迈克菲等多家知名大厂优质安全响应资源,准确鉴定病毒、误报,结合我队专业技术知识,提供全面解决方案
学雷锋做人
发表于 2015-11-1 12:53:34 | 显示全部楼层
本帖最后由 学雷锋做人 于 2015-11-1 14:09 编辑

我是一个学得比较浅的人,希望能够与大家相互交流学习,我在遇到不懂的问题也会去请教别人,对这方面有兴趣可以看看这个博客:http://blog.csdn.net/ioio_jy,一个前辈写的,可惜他不玩卡饭,里面包含了木马病毒分析,内容还是很详细的
———————————————————————————————————————————————
先拿一个敲竹杠样本开刀,样本原帖:http://bbs.kafan.cn/thread-1860481-1-1.html
第一步:查壳,图中为UPX壳
1.png
第二步:OD载入
2.png
第三步:找ESP
3.png
第四步:下断点
5.png
第五步:运行
6.png
第六步:F7单步步入,可以看到下图中,有向上跳转,如果一直F7或F8会出现循环,可以在006F2406处F4跳过
7.png
没多少步就到达OEP了
8.png
第七步:删除之前下的断点,开始修正
9.png
脱壳前后文件对比
10.png
重新载入脱壳后的文件,可以看到在F盘下生成1.exe,而这个才是敲竹杠
11.png
12.png
有关该样本的更多信息见楼下总分析师的行为分析↓
lixihong10
发表于 2015-11-1 12:55:48 | 显示全部楼层
本帖最后由 lixihong10 于 2015-11-1 21:27 编辑

接着楼上的来
样本原帖:http://bbs.kafan.cn/thread-1860481-1-1.html

先下载下来,ESET扫描一遍看看:
图片1.png
报的壳。查一下壳看看。
图片2.png
UPX壳。脱掉继续撸
图片3.png
还是显示有压缩,估计是释放的了。然后再用ESET扫描一遍。
图片4.png
我去,居然不报毒了,还不如不压缩勒
上传到virustotal 看看。
图片5.png
图片6.png
我的病毒库是 20151031的,1号的已经入库了。可以放心的玩耍了



开始跑一遍看看吧。

程序先在F 盘释放1.exe 和 2.MP3然后执行 1.exe
图片7.png
图片8.png
添加开机启动项。
图片9.png
图片10.png
然后修改了注册表,锁定了资源管理器。

下一步开始执行 net 修改开机密码;
图片11.png
看看执行了一些啥
图片12.png
居然是随机出来的密码;

再往下看看~
图片13.png
发送邮件,估计是把密码发到作者那里然后好骗钱把,小样逮着你了吧
抓下数据看看。
图片14.png
用的QQ邮箱发送的。
OTQwMTExMjc1QHFxLmNvbQ== 这个是邮箱帐号,base在线解密后得到;
940111275@qq.com
MTIzMzIxMTIzYQ== 这个是邮箱密码,base在线解密后得到;
123321123a
图片15.png
发送到:
2422821457@qq.com
图片16.png
到结尾这段是发送的内容
解密后都到的是随机用户ID和100755623128 密码。


本来想进邮箱看看有多少邮件了结果密码被修改了。中了这个的话作者也无法解密了,只能PE改密码了吧。

图片17.png
最后弹出的破界面
电脑发烧友
发表于 2015-11-1 13:09:16 | 显示全部楼层
本帖最后由 电脑发烧友 于 2015-11-1 14:47 编辑

本人不才,无法与其他成员比肩,但是我愿意尽我的一份力


行为分析开始。

这是将要分析的文件。 QQ截图20151101132808.png
改个名不要介意哈
QQ截图20151101131813.png

言归正传,程序打算调用taskkill,taskkill是干什么的?是吃掉某个进程的。所以我们暂时打上可疑的问号,接着我们去看日志。
QQ图片20151101134409.png

修改windows目录下的文件,这个应该属于高危行为,要知道这种坑爹的目录是千      金       小           姐,不能随便乱动的,到了这时,我们给这个程序打一个危险的标记。
QQ图片20151101135847.png

在结合剩余的行为我们基本可以认定这是一坏鸟

通过其他方法我们发现这个程序还会恶意修改杀毒软件的注册表,导致杀软失效。

到这里,我们基本可以确定这是一个恶意程序,无限制的执行会导致电脑异常甚至无法开机。

那么我们来验证一下,关闭所有的防护措施,双击程序。


窗体消失,病  毒              执     行     完          毕,我们重启电脑。【河蟹】

QQ图片20151101141500.jpg

QQ截图20151101141752.png
行为分析第二部分
不告诉你这是什么。

QQ截图20151101142100.png

我们无限制的运行。
QQ截图20151101142150.png
不断地出现窗口,病毒报错退出。

QQ图片20151101142447.png

日志偏多,不在一一截图,修改文件,发送消息,修改文件,发送消息。。。。。。无限循环,直到报错退出。怎么这么眼熟?
QQ截图20151101142624.png

我们尝试从记忆的深处检索符合行为的病              毒,嗯,就是     磁                 碟                     机      。

消息洪水来对           抗          杀软。类似于                                  人              海            战            术。没有技术含量,但确实有效。

就这么多了,希望有兴趣的加入我们的队伍,即使您仅仅只是有兴趣,毕竟没有人是全能的。


PS:为什么会看到那么多空格,因为 QQ图片20151101144321.png 。咳咳。

天耀群星
发表于 2015-11-3 19:57:30 | 显示全部楼层
本帖最后由 天耀群星 于 2015-11-3 20:05 编辑
翼风Fly 发表于 2015-11-3 19:46
你好,若加入我们缉毒卫队,不要忘记还要按照主楼说的申请格式填写申请内容呦~
如果不是申请,请在讨 ...

ID:天耀群星
是否有分析病毒的热情:有
是否熟悉 进程 / 注册表 等知识: 熟悉 /
对行为/逆向的了解程度:了解行为分析
了解的安全辅助工具: /PC Hunter / 金山火眼 等
建议:勤奋谦虚、互助进步。
对自己的描述:悟道真人。
经常浏览的版区:样本区
擅长/爱好:计算机安全 HIPS 其他。
其它:追求真理
翼风Fly
 楼主| 发表于 2015-11-3 22:51:40 | 显示全部楼层
天耀群星 发表于 2015-11-3 19:57
ID:天耀群星
是否有分析病毒的热情:有
是否熟悉 进程 / 注册表 等知识: 熟悉 /

注意到您已选择了 安软顾问 团队
很遗憾您的申请无法通过
感谢您对 缉毒卫队 的关注与支持
Hisoka丶
发表于 2015-11-4 11:16:03 | 显示全部楼层
本帖最后由 Hisoka丶 于 2015-11-4 13:42 编辑

之前ID:VMware (如今登录不了)
是否有分析病毒的热情:有
是否熟悉 进程 / 注册表 等知识: 熟悉 /
对行为/逆向的了解程度:了解行为分析
了解的安全辅助工具: /虚拟机/ PC Hunter / 金山火眼 等
建议:互帮互助!
对自己的描述:IT狂魔
经常浏览的版区:防火墙、HIPS
擅长/爱好:网络安全、HIPS、Kali linux、 CDlinux 、backtrack
其它:思科:CCNP
jiuzai0
发表于 2015-11-4 20:24:54 | 显示全部楼层
ID:jiuzai0
是否有分析病毒的热情:有
是否熟悉 进程 / 注册表 等知识:有一点了解
对行为/逆向的了解程度:完全不了解
了解的安全辅助工具:虚拟机  / PC Hunter / 金山火眼
建议:无
对自己的描述:本着以学习为主的目的加入此team
经常浏览的版区:疑难解答、样本区等
擅长/爱好:PC,学过一点编程
其它:无
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-25 11:44 , Processed in 0.071480 second(s), 11 queries , MemCached On.

快速回复 返回顶部 返回列表