syfwxmh 来又一强毒过卡巴4D防御

显示全部楼层 · 发表于 2009-4-12 03:46:27

权限太高了，下不了

显示全部楼层 · 发表于 2009-4-12 08:13:55

ShellCode

C:\WINDOWS\explorer.exe,挂起(NO),成功(YES)

显示全部楼层 · 发表于 2009-4-12 08:25:59

怎么没有反应啊！！！

显示全部楼层 · 发表于 2009-4-12 08:31:42

好像是针对exp的。

bb这时发挥功力了。

一会再测试下。

显示全部楼层 · 发表于 2009-4-12 08:53:25

静观高人对话!

显示全部楼层 · 发表于 2009-4-12 09:09:27

呵呵~~权限好高啊~~·下不了

显示全部楼层 · 发表于 2009-4-12 09:53:57

bp LoadLibraryA

F9

然后alt+F9返回

去掉断点

一直跟下去

00401431 0FB706             movzx eax,word ptr ds:[esi]
00401434 0FB74E 02          movzx ecx,word ptr ds:[esi+2]
00401438 83C6 04             add esi,4
0040143B 03C7                add eax,edi
0040143D 51                push ecx
0040143E 51                push ecx
0040143F 56                push esi
00401440 50                push eax
00401441 FF95 2DF1FFFF       call dword ptr ss:[ebp-ED3]             ntdll.RtlMoveMemory
00401447 59                pop ecx
00401448 03F1                add esi,ecx
0040144A 66:833E 00          cmp word ptr ds:[esi],0
0040144E  ^ 75 E1             jnz short vvv.00401431

rtlmovememory是个未公开的api函数。主要用于内存操作

还有下面的自己注意下哈，这就大概是我自己的理解了

最后感谢徐超大牛指导

[ 本帖最后由 WillBeNextKido 于 2009-4-12 09:55 编辑 ]

显示全部楼层 · 发表于 2009-4-12 09:57:19

没加壳用bintext的都能。。。。

（一开始载入敏感过头了。。。还以为加壳了。。。）

显示全部楼层 · 发表于 2009-4-12 10:16:34

sysanalyzer

这个找不到下载的地方，哪位传下？在回复的附件里面就可以了

显示全部楼层 · 发表于 2009-4-12 10:16:58

我突然发现一个问题，如果单用SB这个样本启动后就没反应，如果同时使用SSM加SB（其它HIPS没测试过）这个样本就会穿了SB.

[病毒样本] syfwxmh 来又一强毒过卡巴4D防御

回复 210楼柴子的帖子

回复 214楼 wolfwalk888 的帖子

回复 205楼 ximo 的帖子

[病毒样本] syfwxmh 来 又一强毒过卡巴4D防御

回复 210楼 柴子 的帖子

回复 214楼 wolfwalk888 的帖子

回复 205楼 ximo 的帖子

[病毒样本] syfwxmh 来又一强毒过卡巴4D防御

回复 210楼柴子的帖子