转吾爱一个样本

显示全部楼层 · 发表于 2016-8-23 11:58:50

本帖最后由 vm001 于 2016-8-23 12:01 编辑

白+黑远控木马

母体

衍生物

木马开机启动文件

玩这个不在于文件杀不杀，有意思的地方是木马进程的保护（你结束掉他还会启动）和开机启动项的添加位置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll //DllPath//C:\Program Files (x86)\Common Files\RestrictOne.dll

显示全部楼层 · 发表于 2016-8-23 12:02:31

火绒

显示全部楼层 · 发表于 2016-8-23 12:20:44

win7*32下

把进程挂起，然后卸载模块，杀掉进程，干掉注册表，重启，未发现异常。

对了，请教一下。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll //DllPath//C:\Program Files (x86)\Common Files\RestrictOne.dll

这一段注册表以前没见过，为什么可以达到添加启动项的作用？

显示全部楼层 · 发表于 2016-8-23 12:23:03

卡巴还是杀io.dat

显示全部楼层 · 发表于 2016-8-23 12:35:06

电脑发烧友发表于 2016-8-23 12:20
win7*32下

把进程挂起，然后卸载模块，杀掉进程，干掉注册表，重启，未发现异常。

属于登陆加载模块吧

显示全部楼层 · 发表于 2016-8-23 12:42:27

https://msdn.microsoft.com/en-us ... 77858(v=vs.85).aspx

显示全部楼层 · 发表于 2016-8-23 12:48:49

深山红叶__ 发表于 2016-8-23 12:42
https://msdn.microsoft.com/en-us/library/windows/desktop/aa377858(v=vs.85).aspx

谢了，我刚才已经找到了。

显示全部楼层 · 发表于 2016-8-23 13:34:18

MSE miss

显示全部楼层 · 发表于 2016-8-23 13:37:19

搞AV的这群人根本啥都不懂本地防御。
要我设计。直接禁止hkml\system\*，封杀100种注册表写启动。再弄个注册表白名单，还不影响效率

显示全部楼层 · 发表于 2016-8-23 14:08:24

[病毒样本] 转吾爱一个样本

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块