完美可疑文件

jasonliul

俺觉得好玩, 就是每种杀马卧, 都检测出不同的文件.

这个绝对是罕见.

fireherman

ESET miss，是全程（由下载，到安装，到打开软件全程） miss

唯一的弹窗，还是自定义HIPS规则拦截，因为它写sys文件到系统目录里（加驱）。

jasonliul

fireherman 发表于 2016-10-2 12:27
ESET miss，是全程（由下载，到安装，到打开软件全程） miss

唯一的弹窗，还是自定义HIPS规则拦 ...

扫描软件目录呢?

这个是极品, 典型中国式"公说公有理, 婆说婆有理"

fireherman

jasonliul 发表于 2016-10-2 12:36
扫描软件目录呢?

这个是极品, 典型中国式"公说公有理, 婆说婆有理"

也是miss

我还特意扫描 \Thunder\Program\*.exe （包括你说的那个 languagexxx.exe 文件）。

然后“量身定做”一个HIPS规则给上面提到的那个“语言文件”，包括AD、FD、RD规则，然后运行主程序；没有发现它有任何行为（无记录）。


PS：只是打开软件，我没有测试下载时它是不是……

jasonliul

fireherman 发表于 2016-10-2 12:45
也是miss

我还特意扫描 \Thunder\Program\*.exe （包括你说的那个 languagexxx.exe 文件）。

问题就在这里, 这个文件报告盗取密码,
但这个破解版是免登录的, 而且这个文件看起来没有用, 是多余的.

俺的防火墙是白名单, 该文件没有联网行为.cports 也看不到它打开端口.

fireherman

jasonliul 发表于 2016-10-2 12:47
问题就在这里, 这个文件报告盗取密码,
但这个破解版是免登录的, 而且这个文件看起来没有用, 是多余的 ...

的确如此，删了它是可以“正常”运行这个迅雷的。

我也把这个文件放进防火墙规则里，同样发现不了它有出站入站记录。

是不是这个“文件”已经年代久远（2014年），那个“歹徒”已经弃坑了？

jasonliul

fireherman 发表于 2016-10-2 12:53
的确如此，删了它是可以“正常”运行这个迅雷的。

我也把这个文件放进防火墙规则里，同样发现不了它有 ...

这个好像就是ZD版本, 安装包是加密的,
手工拆包也很麻烦....

通常俺总是怀疑安装包加密, 不过当年大家不玩MD5, 数字签名.
安装包加密也是好办法, 防止篡改.

fireherman

jasonliul 发表于 2016-10-2 12:56
这个好像就是ZD版本, 安装包是加密的,
手工拆包也很麻烦....

反正迅雷自身也不是什么好鸟（还有旋风和毒盘管家）。

一开主程序，HIPS日志里就写写写写写……N多注册表和文件操作……恶心得很。

我用uTorrent和eMule哪有这么多注册表写入删除操作的。

流氓就是流氓……盯着用户的注册表流口水。

而这个样本估计是在流氓头上再戴顶高帽子罢了。

jasonliul

fireherman 发表于 2016-10-2 13:05
反正迅雷自身也不是什么好鸟（还有旋风和毒盘管家）。

一开主程序，HIPS日志里就写写写写写……N多注 ...

这个旧版应该是最好的破解迅雷, 现在还能用.

比较新版破解, 一口气写入N多注册表, 若干奇怪的C盘目录, 临时文件目录下的子目录.
Zemana全杀.

这个版本写C盘干净好多. Zemana只杀迅雷目录,其他没有发现

俺以前用Ubt, Qbt, 不过中国人也没法免俗, 很多影视都是雷/旋风加密链接.


p.s. 那个所谓语言.exe应该是破解用的, 用于搞成免登录, 不过破解者用过之后没有删除

fireherman

jasonliul 发表于 2016-10-2 13:10
这个旧版应该是最好的破解迅雷, 现在还能用.

比较新版破解, 一口气写入N多注册表, 若干奇怪的C盘目 ...

也不能说免俗，国策问题，谁叫光腚肿菊那帮老不死那么喜欢去“女票”，又喜欢Bareback地宍，搞得蛋蛋经常发骚发痒，不得不用手去抓。


于是国内那些暴发户们就看准商机，来个拿来主义；大家边骂边用，越用越堕落，越堕落就越快乐。


用户，尤其是有些技术的用户，就来一个照葫芦画瓢，而且毫不掩饰自己的嘴脸：要点零花钱。


唉……这草蛋的年代。