楼主: dl123100
收起左侧

[原创文章] 使用XueTr手杀病毒小谈

  [复制链接]
dl123100
 楼主| 发表于 2009-4-30 12:03:22 | 显示全部楼层
原帖由 wolfwalk888 于 2009-4-30 11:36 发表
我这里看了下,用那个金山清理专家扫描的,重启后发现usernit.exe被修改。 确实穿了还原,测试之前我用金山清理诊断呢,没发现usernit.exe被修改。郁闷。
你OD用的熟吗?用od跟踪一下看看吧,反正我不会。
测 ...

刚试了下,虚拟机装了RVS2008后,开影子模式重启后usernit.exe确实被修改,但还原快照后,在干净的系统(XP原版不打任何补丁)上运行仍然没修改userinit.exe文件。
这个样本我看了下,脱壳后好像仍然有一堆花指令,不过比较规则,等写完其它的手杀过程再分析。

[ 本帖最后由 dl123100 于 2009-4-30 12:19 编辑 ]
tawny2008
发表于 2009-4-30 13:32:30 | 显示全部楼层

回复 22楼 dl123100 的帖子

我这边虚拟机没看到替换文件,估计开影子测试才有吧
evilrabbit
发表于 2009-4-30 14:08:32 | 显示全部楼层
,实机测试和虚拟机测试,结果有点不太一样。虽然下载和生成物都差不多,呵呵 多测试下就知道了,没想到这个破样本还有穿还原的特性。
dl123100
 楼主| 发表于 2009-4-30 14:36:52 | 显示全部楼层
原帖由 wolfwalk888 于 2009-4-30 14:08 发表
,实机测试和虚拟机测试,结果有点不太一样。虽然下载和生成物都差不多,呵呵 多测试下就知道了,没想到这个破样本还有穿还原的特性。

这个样本没有反虚拟机,实机测了一样不感染userinit.exe,应该是检测到了第三方过滤驱动(SD的)才有这个动作。
dl123100
 楼主| 发表于 2009-4-30 14:38:45 | 显示全部楼层
第三篇完成,继续。。。
umag
发表于 2009-4-30 14:54:55 | 显示全部楼层
高手,佩服,学习
156200
发表于 2009-4-30 15:24:43 | 显示全部楼层
喜欢教程,谢谢楼主
coolhui
发表于 2009-4-30 18:16:31 | 显示全部楼层
很详细的教程,学习了,谢谢分享~~
fkrs10
发表于 2009-4-30 19:11:44 | 显示全部楼层
这个教学难度有点大了,慢慢看,细细学.多谢.
904055262
发表于 2009-4-30 19:51:19 | 显示全部楼层
呵呵 很期待呀   很多图片哦  还有GIF 很费时间的活啊 顶你哦 LZ
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 22:17 , Processed in 0.092635 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表