收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 真-xiaoba【 自制新病毒-2018-6-8】
123456下一页
返回列表 发新帖
楼主: pal家族
 收起左侧

[病毒样本] 真-xiaoba【 自制新病毒-2018-6-8】

  [复制链接]
安全守护者
头像被屏蔽
发表于 2018-6-9 12:10:59 | 显示全部楼层
www-tekeze 发表于 2018-6-9 10:48
??  火绒没有云,每天才一更,这么快就能kill了?

miss
回复

举报

HellBoyF
发表于 2018-6-9 12:12:32 | 显示全部楼层
微步云沙箱判定为恶意,发现具有进程注入的行为。
https://s.threatbook.cn/report/f ... io_link_id=QPDEKloN
回复

举报

www-tekeze
发表于 2018-6-9 12:25:48 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-6-9 12:27 编辑
安全守护者 发表于 2018-6-9 12:08
进程详情
共分析了2个进程
Tencentdl.exe(PID:3296)

谁让咱们用的火绒呢,扫描miss双击也没反应 (你知道我的系统加固项是全开),那只能手动分析下了。。

刚在虚拟机里又放开跑了下,确实在Temp里有4个衍生物,但字节都为0,担心刷新有问题显示不对,特意copy出来看了下,字节确实为0,其它信息为空。。。这4个空文件有何用,我的水平有限实在不懂,请高手们给分析下。。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2018-6-9 12:30:23 | 显示全部楼层
安全守护者 发表于 2018-6-9 12:08
进程详情
共分析了2个进程
Tencentdl.exe(PID:3296)

也用雷锋的工具看了下,给的是创建svchost.exe,没说注入,但运行出错分析不完全。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

aboringman
发表于 2018-6-9 12:36:31 | 显示全部楼层
www-tekeze 发表于 2018-6-9 12:30
也用雷锋的工具看了下,给的是创建svchost.exe,没说注入,但运行出错分析不完全。。

32楼微步分析结果非常明显,ESET的报法也没有错误,如果你想知道详情·,大可以用COMODO或者MD这些HIPS看他的单步行为。

发言完毕。

回复

举报

,就一个.
发表于 2018-6-9 13:27:05 | 显示全部楼层
360主防杀
回复

举报

安全守护者
头像被屏蔽
发表于 2018-6-9 13:45:20 | 显示全部楼层
本帖最后由 安全守护者 于 2018-6-9 13:46 编辑
www-tekeze 发表于 2018-6-9 12:25
谁让咱们用的火绒呢,扫描miss双击也没反应 (你知道我的系统加固项是全开),那只能手动分析下了。。[:05: ...
TCP
  1. 192.168.122.202:49178 → 151.101.72.133:443
  2. 00000000: 1603 0100 7c01 0000 7803 015a 7d1e 2097  ....|...x..Z}...
  3. 00000010: 9f59 3cb7 e59c 3ec7 7110 ca71 3791 7fc0  .Y<...>.q..q7...
  4. 00000020: 41d5 0bbf 6e08 d862 c169 c600 0018 002f  A...n..b.i...../
  5. 00000030: 0035 0005 000a c013 c014 c009 c00a 0032  .5.............2
  6. 00000040: 0038 0013 0004 0100 0037 ff01 0001 0000  .8.......7......
  7. 00000050: 0000 1e00 1c00 0019 7261 772e 6769 7468  ........raw.gith
  8. 00000060: 7562 7573 6572 636f 6e74 656e 742e 636f  ubusercontent.co
  9. 00000070: 6d00 0a00 0600 0400 1700 1800 0b00 0201  m...............
  10. 00000080: 00                                       .
  11. 151.101.72.133:443 → 192.168.122.202:49178
  12. 151.101.72.133:443 → 192.168.122.202:49178
  13. 00000000: 1603 0100 5d02 0000 5903 01f6 9277 c508  ....]...Y....w..
  14. 00000010: 5418 3ddb 3d35 2132 3338 9f44 ad8a a483  T.=.=5!238.D....
  15. 00000020: dcd2 4d20 7f67 58c1 9850 d520 1f0c c4c5  ..M..gX..P......
  16. 00000030: 3ddd 7481 5dcd 534e 4642 4f57 112d 691e  =.t.].SNFBOW.-i.
  17. 00000040: 07a7 f7d1 71c0 e388 8641 948c c013 0000  ....q....A......
  18. 00000050: 11ff 0100 0100 0000 0000 000b 0004 0300  ................
  19. 00000060: 0102 1603 010c 6e0b 000c 6a00 0c67 0007  ......n...j..g..
  20. 00000070: ac30 8207 a830 8206 90a0 0302 0102 0210  .0...0..........
  21. 00000080: 083a 8459 2f77 f2e7 951b f887 cede c966  .:.Y/w.........f
  22. 00000090: 300d 0609 2a86 4886 f70d 0101 0b05 0030  0...*.H........0
  23. 000000a0: 7031 0b30 0906 0355 0406 1302 5553 3115  p1.0...U....US1.
  24. 000000b0: 3013 0603 5504 0a13 0c44 6967 6943 6572  0...U....DigiCer
  25. 000000c0: 7420 496e 6331 1930 1706 0355 040b 1310  t.Inc1.0...U....
  26. 000000d0: 7777 772e 6469 6769 6365 7274 2e63 6f6d  www.digicert.com
  27. 000000e0: 312f 302d 0603 5504 0313 2644 6967 6943  1/0-..U...&DigiC
  28. 000000f0: 6572 7420 5348 4132 2048 6967 6820 4173  ert.SHA2.High.As
  29. 00000100: 7375 7261 6e63 6520 5365 7276 6572 2043  surance.Server.C
  30. 00000110: 4130 1e17 0d31 3730 3332 3330 3030 3030  A0...17032300000
  31. 00000120: 305a 170d 3230 3035 3133 3132 3030 3030  0Z..200513120000
  32. 00000130: 5a30 6a31 0b30 0906 0355 0406 1302 5553  Z0j1.0...U....US
  33. 00000140: 3113 3011 0603 5504 0813 0a43 616c 6966  1.0...U....Calif
  34. 00000150: 6f72 6e69 6131 1630 1406 0355 0407 130d  ornia1.0...U....
  35. 00000160: 5361 6e20 4672 616e 6369 7363 6f31 1530  San.Francisco1.0
  36. 00000170: 1306 0355 040a 130c 4769 7448 7562 2c20  ...U....GitHub,.
  37. 00000180: 496e 632e 3117 3015 0603 5504 0313 0e77  Inc.1.0...U....w
  38. 00000190: 7777 2e67 6974 6875 622e 636f 6d30 8201  ww.github.com0..
  39. 000001a0: 2230 0d06 092a 8648 86f7 0d01 0101 0500  "0...*.H........
  40. 000001b0: 0382 010f 0030 8201 0a02 8201 0100 c6d3  .....0..........
  41. 000001c0: f18a 3bcf a445 f2cb 7067 d745 9fa1 698a  ..;..E..pg.E..i.
  42. 000001d0: 4d6e f9dd 4bf6 3eeb 0336 66a5 c7fe e6a8  Mn..K.>..6f.....
  43. 000001e0: 5aa2 e41a 8ae3 1590 1d08 12a7 285e 760b  Z...........(^v.
  44. 000001f0: 5621 7582 2461 ed80 555c 93e0 c101 b1e2  V!u.$a..U\......
  45. 00000200: 1ec1 3aed ec29 5756 b697 61a9 a8d0 854d  ..:..)WV..a....M
  46. 00000210: 4efb 52ca 0d54 3ff1 3f2c 7793 e70f 5fdc  N.R..T?.?,w..._.
  47. 00000220: bcae a8cc 8990 77c6 cd73 2836 0191 ca01  ......w..s(6....
  48. 00000230: 56b0 3e88 edf6 dd89 0998 22c4 5c23 b63b  V.>.......".\#.;
  49. 00000240: b6f5 b702 c55a 4370 31de deee 7b5e bb6b  .....ZCp1...{^.k
  50. 00000250: 8232 fc4d a794 20db 6308 9f7d edd9 e80c  .2.M....c..}....
  51. 00000260: 3df2 0353 f4dc 2837 f26a dcb9 face 85de  =..S..(7.j......
  52. 00000270: 0ce1 ede2 209e a350 3744 ffe5 fa5a 624a  .......P7D...ZbJ
  53. 00000280: 9dc7 c8f6 d500 ec23 217f 09f4 a903 9a8a  .......#!.......
  54. 00000290: 2ee8 65ba ef31 ad46 e773 4322 817e d54e  ..e..1.F.sC".~.N
  55. 000002a0: 14bd 3db7 f131 2435 7104 1f6c 6771 a103  ..=..1$5q..lgq..
  56. 000002b0: 494c d1f1 5eff 994d 7031 2828 eee7 0203  IL..^..Mp1((....
  57. 000002c0: 0100 01a3 8204 4230 8204 3e30 1f06 0355  ......B0..>0...U
  58. 000002d0: 1d23 0418 3016 8014 5168 ff90 af02 0775  .#..0...Qh.....u
  59. 000002e0: 3ccc d965 6462 a212 b859 723b 301d 0603  <..edb...Yr;0...
  60. 000002f0: 551d 0e04 1604 1430 8229 d86d 4ce0 d4a2  U......0.).mL...
  61. 00000300: c610 4805 8087 a8bc aae9 1230 7b06 0355  ..H........0{..U
  62. 00000310: 1d11 0474 3072 820e 7777 772e 6769 7468  ...t0r..www.gith
  63. 00000320: 7562 2e63 6f6d 820c 2a2e 6769 7468 7562  ub.com..*.github
  64. 00000330: 2e63 6f6d 820a 6769 7468 7562 2e63 6f6d  .com..github.com
  65. 00000340: 820b 2a2e 6769 7468 7562 2e69 6f82 0967  ..*.github.io..g
  66. 00000350: 6974 6875 622e 696f 8217 2a2e 6769 7468  ithub.io..*.gith
  67. 00000360: 7562 7573 6572 636f 6e74 656e 742e 636f  ubusercontent.co
  68. 00000370: 6d82 1567 6974 6875 6275 7365 7263 6f6e  m..githubusercon
  69. 00000380: 7465 6e74 2e63 6f6d 300e 0603 551d 0f01  tent.com0...U...
  70. 00000390: 01ff 0404 0302 05a0 301d 0603 551d 2504  ........0...U.%.
  71. 000003a0: 1630 1406 082b 0601 0505 0703 0106 082b  .0...+.........+
  72. 000003b0: 0601 0505 0703 0230 7506 0355 1d1f 046e  .......0u..U...n
  73. 000003c0: 306c 3034 a032 a030 862e 6874 7470 3a2f  0l04.2.0..http:/
  74. 000003d0: 2f63 726c 332e 6469 6769 6365 7274 2e63  /crl3.digicert.c
  75. 000003e0: 6f6d 2f73 6861 322d 6861 2d73 6572 7665  om/sha2-ha-serve
  76. 000003f0: 722d 6735 2e63 726c 3034 a032 a030 862e  r-g5.crl04.2.0..
  77. 00000400: 6874 7470 3a2f 2f63 726c 342e 6469 6769  http://crl4.digi
  78. 00000410: 6365 7274 2e63 6f6d 2f73 6861 322d 6861  cert.com/sha2-ha
  79. 00000420: 2d73 6572 7665 722d 6735 2e63 726c 304c  -server-g5.crl0L
  80. 00000430: 0603 551d 2004 4530 4330 3706 0960 8648  ..U...E0C07..`.H
  81. 00000440: 0186 fd6c 0101 302a 3028 0608 2b06 0105  ...l..0*0(..+...
  82. 00000450: 0507 0201 161c 6874 7470 733a 2f2f 7777  ......https://ww
  83. 00000460: 772e 6469 6769 6365 7274 2e63 6f6d 2f43  w.digicert.com/C
  84. 00000470: 5053 3008 0606 6781 0c01 0202 3081 8306  PS0...g.....0...
  85. 00000480: 082b 0601 0505 0701 0104 7730 7530 2406  .+........w0u0$.
  86. 00000490: 082b 0601 0505 0730 0186 1868 7474 703a  .+.....0...http:
  87. 000004a0: 2f2f 6f63 7370 2e64 6967 6963 6572 742e  //ocsp.digicert.
  88. 000004b0: 636f 6d30 4d06 082b 0601 0505 0730 0286  com0M..+.....0..
  89. 000004c0: 4168 7474 703a 2f2f 6361 6365 7274 732e  Ahttp://cacerts.
  90. 000004d0: 6469 6769 6365 7274 2e63 6f6d 2f44 6967  digicert.com/Dig
  91. 000004e0: 6943 6572 7453 4841 3248 6967 6841 7373  iCertSHA2HighAss
  92. 000004f0: 7572 616e 6365 5365 7276 6572 4341 2e63  uranceServerCA.c
  93. 00000500: 7274 300c 0603 551d 1301 01ff 0402 3000  rt0...U.......0.
  94. 00000510: 3082 01f5 060a 2b06 0104 01d6 7902 0402  0.....+.....y...
  95. 00000520: 0482 01e5 0482 01e1 01df 0076 00a4 b909  ...........v....
  96. 00000530: 90b4 1858 1487 bb13 a2cc 6770 0a3c 3598  ...X......gp.<5.
  97. 00000540: 04f9 1bdf b8e3 77cd 0ec8 0ddc 1000 0001  ......w.........
  98. 00000550: 5afd 406a 04                             Z.@j.
  99. 151.101.72.133:443 → 192.168.122.202:49178
  100. 00000000: 1406 082b 0601 0505 0703 0106 082b 0601  ...+.........+..
  101. 00000010: 0505 0703 0230 3406 082b 0601 0505 0701  .....04..+......
  102. 00000020: 0104 2830 2630 2406 082b 0601 0505 0730  ..(0&0$..+.....0
  103. 00000030: 0186 1868 7474 703a 2f2f 6f63 7370 2e64  ...http://ocsp.d
  104. 00000040: 6967 6963 6572 742e 636f 6d30 4b06 0355  igicert.com0K..U
  105. 00000050: 1d1f 0444 3042 3040 a03e a03c 863a 6874  ...D0B0@.>.<.:ht
  106. 00000060: 7470 3a2f 2f63 726c 342e 6469 6769 6365  tp://crl4.digice
  107. 00000070: 7274 2e63 6f6d 2f44 6967 6943 6572 7448  rt.com/DigiCertH
  108. 00000080: 6967 6841 7373 7572 616e 6365 4556 526f  ighAssuranceEVRo
  109. 00000090: 6f74 4341 2e63 726c 303d 0603 551d 2004  otCA.crl0=..U...
  110. 000000a0: 3630 3430 3206 0455 1d20 0030 2a30 2806  60402..U...0*0(.
  111. 000000b0: 082b 0601 0505 0702 0116 1c68 7474 7073  .+.........https
  112. 000000c0: 3a2f 2f77 7777 2e64 6967 6963 6572 742e  ://www.digicert.
  113. 000000d0: 636f 6d2f 4350 5330 1d06 0355 1d0e 0416  com/CPS0...U....
  114. 000000e0: 0414 5168 ff90 af02 0775 3ccc d965 6462  ..Qh.....u<..edb
  115. 000000f0: a212 b859 723b 301f 0603 551d 2304 1830  ...Yr;0...U.#..0
  116. 00000100: 1680 14b1 3ec3 6903 f8bf 4701 d498 261a  ....>.i...G...&.
  117. 00000110: 0802 ef63 642b c330 0d06 092a 8648 86f7  ...cd+.0...*.H..
  118. 00000120: 0d01 010b 0500 0382 0101 0018 8a95 8903  ................
  119. 00000130: e66d df5c fc1d 68ea 4a8f 83d6 512f 8d6b  .m.\..h.J...Q/.k
  120. 00000140: 4416 9eac 63f5 d26e 6c84 998b aa81 7184  D...c..nl.....q.
  121. 00000150: 5bed 344e b0b7 7992 29cc 2d80 6af0 8e20  [.4N..y.).-.j...
  122. 00000160: e179 a4fe 0347 13ea f586 ca59 717d f404  .y...G.....Yq}..
  123. 00000170: 966b d359 583d fed3 3125 5c18 3884 a3e6  .k.YX=..1%\.8...
  124. 00000180: 9f82 fd8c 5b98 314e cd78 9e1a fd85 cb49  ....[.1N.x.....I
  125. 00000190: aaf2 278b 9972 fc3e aad5 410b dad5 36a1  ..'..r.>..A...6.
  126. 000001a0: bf1c 6e47 497f 5ed9 487c 03d9 fd8b 49a0  ..nGI.^.H|....I.
  127. 000001b0: 9826 4240 ebd6 9211 a464 0a57 54c4 f51d  .&B@.....d.WT...
  128. 000001c0: d602 5e6b acee c480 9a12 72fa 5693 d7ff  ..^k......r.V...
  129. 000001d0: bf30 8506 30bf 0b7f 4eff 5705 9d24 ed85  .0..0...N.W..$..
  130. 000001e0: c32b fba6 75a8 ac2d 16ef 7d79 27b2 ebc2  .+..u..-..}y'...
  131. 000001f0: 9d0b 07ea aa85 d301 a320 2841 5943 28d2  ..........(AYC(.
  132. 00000200: 81e3 aaf6 ec7b 3b77 b640 6280 0541 4501  .....{;w.@b..AE.
  133. 00000210: ef17 063e dec0 339b 67d3 612e 7287 e469  ...>..3.g.a.r..i
  134. 00000220: fc12 0057 401e 70f5 1ec9 b416 0301 014b  ...W@.p........K
  135. 00000230: 0c00 0147 0300 1741 04aa c1ae 9320 c157  ...G...A.......W
  136. 00000240: 1854 fe14 d90c 6ef2 3f3c 8617 e3d3 657b  .T....n.?<....e{
  137. 00000250: 93fb faf7 d106 eda7 2768 0fdb 04a2 4e19  ........'h....N.
  138. 00000260: e0cd 169a 3dbb cbc7 44a3 db67 ac06 ea56  ....=...D..g...V
  139. 00000270: f6b7 35f1 a2cd 021a 2101 000a eac0 7b2d  ..5.....!.....{-
  140. 00000280: 52df c1a5 577e 3141 f10f 060f 88b6 f3d8  R...W~1A........
  141. 00000290: ee95 430e 64bc 6b3d cdd9 179c a634 53ae  ..C.d.k=.....4S.
  142. 000002a0: 8196 1d3b ad80 0f07 c2c5 e229 c399 79f7  ...;.......)..y.
  143. 000002b0: 3fab 568e dbc0 d3cb 4e19 0485 5086 17c2  ?.V.....N...P...
  144. 000002c0: 3042 3506 6ea6 3733 30bb 252d 838d 33c0  0B5.n.730.%-..3.
  145. 000002d0: 83a6 bd55 0279 cd5a 5506 b59a 8cbf 1d50  ...U.y.ZU......P
  146. 000002e0: 9c92 c321 550e 4ac7 9608 cba4 a18d 14f3  ...!U.J.........
  147. 000002f0: 46b7 58b0 b60d b401 8b84 a0c5 4c91 afc6  F.X.........L...
  148. 00000300: d116 6b78 b5d6 68b7 1f61 7a21 b008 555c  ..kx..h..az!..U\
  149. 00000310: 333a 8f10 c4ad af12 f2b2 bab5 2992 e5cc  3:..........)...
  150. 00000320: 1391 a770 b7d2 5ab5 c066 619c 8674 de53  ...p..Z..fa..t.S
  151. 00000330: 8865 fb68 df48 0f50 aa3a 4d15 973c 01f5  .e.h.H.P.:M..<..
  152. 00000340: f016 8925 77b2 0e66 07d8 2f5d 3a2d 4020  ...%w..f../]:-@.
  153. 00000350: cdde 2972 cf01 f774 c0b3 f61c d07f 06aa  ..)r...t........
  154. 00000360: 5b0d 97a9 731a c65c a0dd a73d 1ada 1ac0  [...s..\...=....
  155. 00000370: dd7c 9b43 ef92 2269 b49f 2a16 0301 0004  .|.C.."i..*.....
  156. 00000380: 0e00 0000                                ....
  157. 192.168.122.202:49178 → 151.101.72.133:443
  158. 151.101.72.133:443 → 192.168.122.202:49178
  159. 00000000: 0000 0403 0047 3045 0220 455e c59a 0b56  .....G0E..E^...V
  160. 00000010: eea7 c434 260a d8f4 4808 c63a a2d6 fd9f  ...4&...H..:....
  161. 00000020: 03a6 60e3 8891 5d24 32cb 0221 008c e1cd  ..`...]$2..!....
  162. 00000030: 4d73 96c7 8987 9fb2 5dce 54d4 8fa9 82a4  Ms......].T.....
  163. 00000040: 665d bd57 70f2 2c18 bf28 39dc 2300 7500  f].Wp.,..(9.#.u.
  164. 00000050: 5614 069a 2fd7 c2ec d3f5 e1bd 44b2 3ec7  V.../.......D.>.
  165. 00000060: 4676 b9bc 9911 5cc0 ef94 9855 d689 d0dd  Fv....\....U....
  166. 00000070: 0000 015a fd40 6a65 0000 0403 0046 3044  ...Z.@je.....F0D
  167. 00000080: 0220 4a40 cb32 4a68 faf6 8299 31e0 be30  ..J@.2Jh....1..0
  168. 00000090: 3a24 2eba d537 6b4a f8e3 25cd fd53 e6a8  :$...7kJ..%..S..
  169. 000000a0: 07b6 0220 4492 cd1a f7d6 0e63 2908 afe2  ....D......c)...
  170. 000000b0: 58f4 a632 c60a db26 324e 5f4a 6ed1 c1b4  X..2...&2N_Jn...
  171. 000000c0: fe56 a647 0076 00ee 4bbd b775 ce60 bae1  .V.G.v..K..u.`..
  172. 000000d0: 4269 1fab e19e 66a3 0f7e 5fb0 72d8 8300  Bi....f..~_.r...
  173. 000000e0: c47b 897a a8fd cb00 0001 5afd 406a 1f00  .{.z......Z.@j..
  174. 000000f0: 0004 0300 4730 4502 200d a7d1 36de 01ae  ....G0E.....6...
  175. 00000100: 4a6e e3a9 9d7a 496e 739b c1c9 293a c1ec  Jn...zIns...):..
  176. 00000110: 68df b6ac 0ed9 035e 9802 2100 97b2 539d  h......^..!...S.
  177. 00000120: 53dd 9857 1abb 3c0b 8e03 4448 c445 b67e  S..W..<...DH.E.~
  178. 00000130: 01af 39bd 5c94 cf25 b696 3da7 0076 00bb  ..9.\..%..=..v..
  179. 00000140: d9df bc1f 8a71 b593 9423 97aa 927b 4738  .....q...#...{G8
  180. 00000150: 5795 0aab 52e8 1a90 9664 368e 1ed1 8500  W...R....d6.....
  181. 00000160: 0001 5afd 406a 1100 0004 0300 4730 4502  ..Z.@j......G0E.
  182. 00000170: 2100 aaae dbaa ef52 7a4c cef0 28c5 9e48  !......RzL..(..H
  183. 00000180: 044e 7536 bc7f 7e46 a0b3 0898 95ce 3523  .Nu6..~F......5#
  184. 00000190: 477d 0220 38db d2bb f547 e639 59d7 e3c3  G}..8....G.9Y...
  185. 000001a0: f9be 9384 5175 fa95 7bc2 9ef0 abef fcc6  ....Qu..{.......
  186. 000001b0: 21d4 325b 300d 0609 2a86 4886 f70d 0101  !.2[0...*.H.....
  187. 000001c0: 0b05 0003 8201 0100 997e d62f ce1b a615  .........~./....
  188. 000001d0: f515 b3ef f130 c11f 5410 92a4 8c43 c0bc  .....0..T....C..
  189. 000001e0: bda5 0d00 53e2 42c1 856f e5a7 a941 994b  ....S.B..o...A.K
  190. 000001f0: 4611 5add fde8 2769 97b6 3ca6 0e2a 30db  F.Z...'i..<..*0.
  191. 00000200: 3353 be83 b0aa 0889 047e 6635 e55c b32c  3S.......~f5.\.,
  192. 00000210: 287f a7b1 e527 796d 8126 89ea a055 5170  (....'ym.&...UQp
  193. 00000220: 10cb eb43 596b aa52 b446 fdd2 ff89 168a  ...CYk.R.F......
  194. 00000230: 45da 0ebf 870d 53ef 8324 c517 ad12 6340  E.....S..$....c@
  195. 00000240: 7480 4dbd a4c9 dd74 d9df 1c61 020a 71b0  t.M....t...a..q.
  196. 00000250: 9324 2f2d a920 7a43 8644 1158 8a45 9bd7  .$/-..zC.D.X.E..
  197. 00000260: 5ce2 66eb a6c6 f17c a7dc ddaf 2789 39f7  \.f....|....'.9.
  198. 00000270: c19a 99c8 7f34 7ad9 3973 83cb 7375 bc16  .....4z.9s..su..
  199. 00000280: b04e a149 2d09 128d 4e3e 63ff f088 71df  .N.I-...N>c...q.
  200. 00000290: 5046 2ba5 383d db38 0897 2964 decb c7eb  PF+.8=.8..)d....
  201. 000002a0: 8870 59dd 62dc 1676 2d30 6ae3 a32f 40a5  .pY.b..v-0j../@.
  202. 000002b0: 360f cc05 76d5 e06e 0440 3d6a 215f bf4e  6...v..n.@=j!_.N
  203. 000002c0: a3a8 6cd0 9821 b9bd 0004 b530 8204 b130  ..l..!.....0...0
  204. 000002d0: 8203 99a0 0302 0102 0210 04e1 e7a4 dc5c  ...............\
  205. 000002e0: f2f3 6dc0 2b42 b85d 159f 300d 0609 2a86  ..m.+B.]..0...*.
  206. 000002f0: 4886 f70d 0101 0b05 0030 6c31 0b30 0906  H........0l1.0..
  207. 00000300: 0355 0406 1302 5553 3115 3013 0603 5504  .U....US1.0...U.
  208. 00000310: 0a13 0c44 6967 6943 6572 7420 496e 6331  ...DigiCert.Inc1
  209. 00000320: 1930 1706 0355 040b 1310 7777 772e 6469  .0...U....www.di
  210. 00000330: 6769 6365 7274 2e63 6f6d 312b 3029 0603  gicert.com1+0)..
  211. 00000340: 5504 0313 2244 6967 6943 6572 7420 4869  U..."DigiCert.Hi
  212. 00000350: 6768 2041 7373 7572 616e 6365 2045 5620  gh.Assurance.EV.
  213. 00000360: 526f 6f74 2043 4130 1e17 0d31 3331 3032  Root.CA0...13102
  214. 00000370: 3231 3230 3030 305a 170d 3238 3130 3232  2120000Z..281022
  215. 00000380: 3132 3030 3030 5a30 7031 0b30 0906 0355  120000Z0p1.0...U
  216. 00000390: 0406 1302 5553 3115 3013 0603 5504 0a13  ....US1.0...U...
  217. 000003a0: 0c44 6967 6943 6572 7420 496e 6331 1930  .DigiCert.Inc1.0
  218. 000003b0: 1706 0355 040b 1310 7777 772e 6469 6769  ...U....www.digi
  219. 000003c0: 6365 7274 2e63 6f6d 312f 302d 0603 5504  cert.com1/0-..U.
  220. 000003d0: 0313 2644 6967 6943 6572 7420 5348 4132  ..&DigiCert.SHA2
  221. 000003e0: 2048 6967 6820 4173 7375 7261 6e63 6520  .High.Assurance.
  222. 000003f0: 5365 7276 6572 2043 4130 8201 2230 0d06  Server.CA0.."0..
  223. 00000400: 092a 8648 86f7 0d01 0101 0500 0382 010f  .*.H............
  224. 00000410: 0030 8201 0a02 8201 0100 b6e0 2fc2 2406  .0........../.$.
  225. 00000420: c86d 045f d7ef 0a64 06b2 7d22 2665 16ae  .m._...d..}"&e..
  226. 00000430: 4240 9bce dc9f 9f76 073e c330 5587 19b9  B@.....v.>.0U...
  227. 00000440: 4f94 0e5a 941f 5556 b4c2 022a afd0 98ee  O..Z..UV...*....
  228. 00000450: 0b40 d7c4 d03b 72c8 149e ef90 b111 a9ae  .@...;r.........
  229. 00000460: d2c8 b843 3ad9 0b0b d5d5 95f5 40af c81d  ...C:.......@...
  230. 00000470: ed4d 9c5f 57b7 8650 6899 f58a dad2 c705  .M._W..Ph.......
  231. 00000480: 1fa8 97c9 dca4 b182 842d c6ad a59c c719  .........-......
  232. 00000490: 82a6 850f 5e44 582a 378f fd35 f10b 0827  ....^DX*7..5...'
  233. 000004a0: 325a f5bb 8b9e a4bd 51d0 27e2 dd3b 4233  2Z......Q.'..;B3
  234. 000004b0: a305 28c4 bb28 cc9a ac2b 230d 78c6 7be6  ..(..(...+#.x.{.
  235. 000004c0: 5e71 b74a 3e08 fb81 b716 16a1 9d23 124d  ^q.J>........#.M
  236. 000004d0: e5d7 9208 ac75 a49c bacd 17b2 1e44 3565  .....u.......D5e
  237. 000004e0: 7f53 2539 d11c 0a9a 631b 1992 7468 0a37  .S%9....c...th.7
  238. 000004f0: c2c2 5248 cb39 5aa2 b6e1 5dc1 dda0 20b8  ..RH.9Z...].....
  239. 00000500: 21a2 9326 6f14 4a21 41c7 ed6d 9bf2 482f  !..&o.J!A..m..H/
  240. 00000510: f303 f5a2 6892 532f 5ee3 0203 0100 01a3  ....h.S/^.......
  241. 00000520: 8201 4930 8201 4530 1206 0355 1d13 0101  ..I0..E0...U....
  242. 00000530: ff04 0830 0601 01ff 0201 0030 0e06 0355  ...0.......0...U
  243. 00000540: 1d0f 0101 ff04 0403 0201 8630 1d06 0355  ...........0...U
  244. 00000550: 1d25 0416 30                             .%..0
  245. 192.168.122.202:49178 → 151.101.72.133:443
  246. 192.168.122.202:49178 → 151.101.72.133:443
  247. 00000000: 1603 0100 4610 0000 4241 0422 bdb2 8bac  ....F...BA."....
  248. 00000010: b56f 658d eba5 5c3e 3f0a 43f0 fd18 d1fd  .oe...\>?.C.....
  249. 00000020: b14c 048e ad75 ee94 bbcf 555b cb3e 8c4b  .L...u....U[.>.K
  250. 00000030: 61e4 1d68 08c0 6dfc c894 94a6 6e6c 7bf5  a..h..m.....nl{.
  251. 00000040: 0ee6 6802 025c 7902 d68b e614 0301 0001  ..h..\y.........
  252. 00000050: 0116 0301 0030 87e5 2e7a 2a93 5db5 364b  .....0...z*.].6K
  253. 00000060: 8533 08eb f6ff e969 c88b eb81 c76d 2a0c  .3.....i.....m*.
  254. 00000070: 214a 45bb 87b8 6295 819b 5317 26ea 6bd2  !JE...b...S.&.k.
  255. 00000080: 5533 da46 cc00                           U3.F..
  256. 151.101.72.133:443 → 192.168.122.202:49178
  257. 00000000: 1403 0100 0101 1603 0100 304f ffaa 8df6  ..........0O....
  258. 00000010: ff57 d5ac 3f73 a401 d12c a233 e0e9 3edc  .W..?s...,.3..>.
  259. 00000020: 094a 2f28 ca86 f134 bc41 2b98 51c7 257c  .J/(...4.A+.Q.%|
  260. 00000030: 87ce 4b51 7c39 46bc a470 0a              ..KQ|9F..p.
  261. 192.168.122.202:49178 → 151.101.72.133:443
  262. 00000000: 1703 0100 90f4 60f2 1def fe2e 16a3 5721  ......`.......W!
  263. 00000010: 6c94 4040 b66d d449 aba1 4ac4 4f2b 89f6  l.@@.m.I..J.O+..
  264. 00000020: 2684 0e18 6c0e 856f e741 8747 938b c77b  &...l..o.A.G...{
  265. 00000030: 2c87 a17e 5b01 9317 4261 6ae4 1d53 a6c1  ,..~[...Baj..S..
  266. 00000040: 4aec 7616 365c 2c6b 2079 5480 9ec1 7cde  J.v.6\,k.yT...|.
  267. 00000050: ca8e 5425 ea2f 6e4c bff5 5824 51f0 a9c5  ..T%./nL..X$Q...
  268. 00000060: 38da 25bc a368 5b71 a2ab cabe 8ddc e09b  8.%..h[q........
  269. 00000070: 9637 4b0a 9401 54f0 fe05 4ed1 79ff 41e9  .7K...T...N.y.A.
  270. 00000080: 9b34 d993 8e13 ff75 d2e6 bf90 2346 4d87  .4.....u....#FM.
  271. 00000090: 7c60 7fff 29                             |`..)
  272. 151.101.72.133:443 → 192.168.122.202:49178
  273. 151.101.72.133:443 → 192.168.122.202:49178
  274. 00000000: 1703 0102 f0c3 0014 e3f3 b140 6246 7a0d  ...........@bFz.
  275. 00000010: f2a0 7dd2 0178 0be9 422a 2ca1 4738 6ab9  ..}..x..B*,.G8j.
  276. 00000020: b8f6 0133 47e2 a5a8 6cbd 0897 e3b5 eabc  ...3G...l.......
  277. 00000030: e571 e598 7ab8 382f 7387 ef9c 6829 e23f  .q..z.8/s...h).?
  278. 00000040: a6ae a4f0 8aaa b35d 19d2 b3e6 4a7a 07e1  .......]....Jz..
  279. 00000050: 50e5 00a3 dd1f dcae 4540 6e88 878b 9dd9  P.......E@n.....
  280. 00000060: b124 d393 439d beb2 1ba2 f6d2 8286 3274  .$..C.........2t
  281. 00000070: 1bcb 67fb 61ff 6685 c9c4 8c10 bb9b 0f4a  ..g.a.f........J
  282. 00000080: 51be f3a0 e0ba 7932 7375 8ef0 708d 5ac2  Q.....y2su..p.Z.
  283. 00000090: bae0 0961 8b5b 2d8a 2978 48df e770 9003  ...a.[-.)xH..p..
  284. 000000a0: bf95 34cb f78b ca22 e510 1051 5519 4272  ..4...."...QU.Br
  285. 000000b0: 335d faf9 14e3 b761 1ea2 8a37 cdfb 3e8d  3].....a...7..>.
  286. 000000c0: 36c7 285d cb9d 3c7b 794e cc4c c6a2 c99f  6.(]..<{yN.L....
  287. 000000d0: b5de 521f 18c1 ebd2 ceb6 9192 3689 eb0a  ..R.........6...
  288. 000000e0: aee1 a821 18fb 46d4 d346 92ab d3d9 03c4  ...!..F..F......
  289. 000000f0: a582 19bd 3815 ef59 ef47 bd40 885c 8e24  ....8..Y.G.@.\.$
  290. 00000100: 07e0 b266 bba5 a446 2856 59cc 5d6c 39cb  ...f...F(VY.]l9.
  291. 00000110: 6025 b94a 0c66 8c99 0e11 9f51 8029 cd5b  `%.J.f.....Q.).[
  292. 00000120: c793 0fd6 5acd 278c b619 ffd1 607d 65a2  ....Z.'.....`}e.
  293. 00000130: 3bb6 2a4e 9063 ba5a 6165 36bd a979 1895  ;.*N.c.Zae6..y..
  294. 00000140: f870 c6b2 727a 562f 684f 896e 2303 7565  .p..rzV/hO.n#.ue
  295. 00000150: 0bbf e248 01a4 4b84 9c0e 59d8 a1e8 0dd9  ...H..K...Y.....
  296. 00000160: 4f15 b927 fa64 0161 6874 a3a5 9393 48c9  O..'.d.aht....H.
  297. 00000170: d8ee 40e7 f1b7 2d1e 851e 7b4f 409c b6bc  ..@...-...{O@...
  298. 00000180: 9877 da0e 79e0 096e 08de dc40 a502 73d4  .w..y..n...@..s.
  299. 00000190: de16 263a e595 da67 e742 8ee9 d688 0168  ..&:...g.B.....h
  300. 000001a0: f3cf cf25 3618 02ec 341a 9bde a9d0 4182  ...%6...4.....A.
  301. 000001b0: 7374 c8a2 0907 26c0 ffca 1fc3 db8e 22e7  st....&.......".
  302. 000001c0: 9ce8 688d 47d4 b8c5 d0bc 93ea 9d1e ffcb  ..h.G...........
  303. 000001d0: 3208 bbef 7819 6758 8e0c 682c 581f 4719  2...x.gX..h,X.G.
  304. 000001e0: dc5b 3318 3003 8105 89cb 5995 e586 13c7  .[3.0.....Y.....
  305. 000001f0: 2e54 ed9c 8a64 beab bc11 834a 889a 782b  .T...d.....J..x+
  306. 00000200: 6c82 f355 4ee9 deee 9678 5a34 8735 949e  l..UN....xZ4.5..
  307. 00000210: 0a22 c3a9 0fef 83f1 a4fe e2a9 5155 1223  ."..........QU.#
  308. 00000220: 04fa f3e8 6bcd 5785 5665 2d5b add9 0fb8  ....k.W.Ve-[....
  309. 00000230: a8f8 0cbf c50d fd0a 1982 ee45 c356 bf54  ...........E.V.T
  310. 00000240: d830 fb6a 3a07 9d7e 4b33 ccab 55c2 998d  .0.j:..~K3..U...
  311. 00000250: 0462 8e7b bb27 6ee2 69e9 cedb 3c19 e13d  .b.{.'n.i...<..=
  312. 00000260: 4bbc 489f e3db 412c a8bb d9b7 bdeb d2aa  K.H...A,........
  313. 00000270: 527b f9a0 f0ab 9751 95fc 8d0a 7bbe 02fc  R{.....Q....{...
  314. 00000280: d2f4 5042 c9d6 b8e5 6b75 770f d91c 1600  ..PB....kuw.....
  315. 00000290: 33f7 99d8 0ec5 1ae5 352b 9493 fdb2 43d6  3.......5+....C.
  316. 000002a0: 115f 4e0f e17d f466 825c e2ec ae05 eae9  ._N..}.f.\......
  317. 000002b0: 1022 2af2 4c9a 2633 3a81 8d26 eb2c 67e7  ."*.L.&3:..&.,g.
  318. 000002c0: a794 a184 dfa4 f90f d4bc fba0 c15f 9d6c  ............._.l
  319. 000002d0: 8986 17d5 ebdc 7610 400c 7244 b6bd d3fd  ......v.@.rD....
  320. 000002e0: 5144 516f 917f 2ad6 59d8 2cf3 0655 1efa  QDQo..*.Y.,..U..
  321. 000002f0: a5d5 299b b3                             ..)..
  322. 192.168.122.202:49178 → 151.101.72.133:443
复制代码
UDP
  1. 192.168.122.202:59455 → 192.168.122.1:53
  2. 00000000: 4ed1 0100 0001 0000 0000 0000 0978 6961  N............xia
  3. 00000010: 6f62 6136 3636 0566 3333 3232 036e 6574  oba666.f3322.net
  4. 00000020: 0000 0100 01                             .....
  5. 192.168.122.1:53 → 192.168.122.202:59455
  6. 00000000: 4ed1 8180 0001 0001 000d 0000 0978 6961  N............xia
  7. 00000010: 6f62 6136 3636 0566 3333 3232 036e 6574  oba666.f3322.net
  8. 00000020: 0000 0100 01c0 0c00 0100 0100 0000 3c00  ..............<.
  9. 00000030: 049f 8a15 b700 0002 0001 0000 2da0 0011  ............-...
  10. 00000040: 0161 0c72 6f6f 742d 7365 7276 6572 73c0  .a.root-servers.
  11. 00000050: 1c00 0002 0001 0000 2da0 0004 0162 c042  ........-....b.B
  12. 00000060: 0000 0200 0100 002d a000 0401 67c0 4200  .......-....g.B.
  13. 00000070: 0002 0001 0000 2da0 0004 016d c042 0000  ......-....m.B..
  14. 00000080: 0200 0100 002d a000 0401 63c0 4200 0002  .....-....c.B...
  15. 00000090: 0001 0000 2da0 0004 0166 c042 0000 0200  ....-....f.B....
  16. 000000a0: 0100 002d a000 0401 64c0 4200 0002 0001  ...-....d.B.....
  17. 000000b0: 0000 2da0 0004 016a c042 0000 0200 0100  ..-....j.B......
  18. 000000c0: 002d a000 0401 6cc0 4200 0002 0001 0000  .-....l.B.......
  19. 000000d0: 2da0 0004 0168 c042 0000 0200 0100 002d  -....h.B.......-
  20. 000000e0: a000 0401 6bc0 4200 0002 0001 0000 2da0  ....k.B.......-.
  21. 000000f0: 0004 0165 c042 0000 0200 0100 002d a000  ...e.B.......-..
  22. 00000100: 0401 69c0 42                             ..i.B
复制代码

回复

举报

www-tekeze
发表于 2018-6-9 13:52:30 | 显示全部楼层
aboringman 发表于 2018-6-9 12:36
32楼微步分析结果非常明显,ESET的报法也没有错误,如果你想知道详情·,大可以用COMODO或者MD这些HIPS看 ...

据火绒官方给的会和毛豆全系冲突,所以不想装COMODO,而且我从不玩多款杀软共存。 MD的话以前玩过,还捣鼓过风霜规则,但被数字收购后停更了,只支持到Win7 x86,现在没法用了。。
回复

举报

www-tekeze
发表于 2018-6-9 13:55:00 | 显示全部楼层
aboringman 发表于 2018-6-9 12:36
32楼微步分析结果非常明显,ESET的报法也没有错误,如果你想知道详情·,大可以用COMODO或者MD这些HIPS看 ...

看过32L微步的分析了,感谢提醒! 但那4个空白文件具体有何用还是似懂非懂,进程详情里只提到了svchost.exe,其余三条没提啊。。。也不想追究了,偶只是个业余爱好者而已。。
回复

举报

www-tekeze
发表于 2018-6-9 14:14:17 | 显示全部楼层
安全守护者 发表于 2018-6-9 13:45
TCP
UDP

UDP看确实是xiaoba的杰作,用的什么调试工具,抓包分析么? 算了算了,你和xiaoba一样都可以自己写样本,我哪能和你比呢。。。

早知这个贴子就不应该进来凑热闹,火绒既然miss,我也把样本提交给微步,然后给个链接或截几个图,那不是来得多简单,何苦去双击呢? 先走人了,你们慢慢玩。。
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-1 07:30 , Processed in 0.104775 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表