掌握证据，揪出元凶——跟我学习CIMA，让更多人了解病毒的行为（下）

抱金砖

Hacker29cn 发表于 2011-4-24 17:16
掌握证据，揪出元凶——跟我学习CIMA，让更多人了解病毒的行为（之二）

紧接第一部分的讲解，本部分理解 ...

辛苦了  非常感谢详细讲解  之前有用过一两次cima
还有一个像埃及一样的分析站点也很不错哦~~~

抱金砖

Hacker29cn 发表于 2011-4-24 17:16
掌握证据，揪出元凶——跟我学习CIMA，让更多人了解病毒的行为（之二）

紧接第一部分的讲解，本部分理解 ...

Threads CreatedPId        Process Name        TId        Start        Start Mem        Win32 Start        Win32 Start Mem
0x2b0        lsass.exe        0x2fc        0x7c810856        MEM_IMAGE        0x75738e06        MEM_IMAGE
0x2b0        lsass.exe        0x4c0        0x7c810856        MEM_IMAGE        0x77e76bf0        MEM_IMAGE
0x378        wmiprvse.exe        0x148        0x7c810856        MEM_IMAGE        0x0        MEM_FREE
0x378        wmiprvse.exe        0x30c        0x7c810856        MEM_IMAGE        0x5f771c49        MEM_IMAGE
0x378        wmiprvse.exe        0x310        0x7c810856        MEM_IMAGE        0x716df2be        MEM_IMAGE
0x378        wmiprvse.exe        0x3bc        0x7c810856        MEM_IMAGE        0x0        MEM_FREE
0x378        wmiprvse.exe        0x448        0x7c810856        MEM_IMAGE        0x100ce42        MEM_IMAGE
0x378        wmiprvse.exe        0x464        0x7c810856        MEM_IMAGE        0x774f319a        MEM_IMAGE
0x378        wmiprvse.exe        0x568        0x7c810867        MEM_IMAGE        0x1024636        MEM_IMAGE
0x3f4        svchost.exe        0xdc        0x7c810856        MEM_IMAGE        0x762cf0a3        MEM_IMAGE
0x3f4        svchost.exe        0x414        0x7c810856        MEM_IMAGE        0x75219a1e        MEM_IMAGE
0x3f4        svchost.exe        0x418        0x7c810856        MEM_IMAGE        0x762cf010        MEM_IMAGE
0x3f4        svchost.exe        0x560        0x7c810856        MEM_IMAGE        0x7c929fae        MEM_IMAGE
0x3f4        svchost.exe        0x5f8        0x7c810856        MEM_IMAGE        0x762cf0a3        MEM_IMAGE
0x3f4        svchost.exe        0x658        0x7c810856        MEM_IMAGE        0xbc01        MEM_FREE
0x3f4        svchost.exe        0x6a0        0x7c810856        MEM_IMAGE        0x774f319a        MEM_IMAGE
0x424        svchost.exe        0x6d0        0x7c810856        MEM_IMAGE        0x77df9981        MEM_IMAGE
0x6ac        SmartTool.exe        0x6ec        0x7c810867        MEM_IMAGE        0x403a8c        MEM_IMAGE
0x6ac        SmartTool.exe        0x7a8        0x7c810856        MEM_IMAGE        0x401840        MEM_IMAGE

请教下
以上是线程创建吧?
这些的意思是都被插入了呢 还是以上这些插入到其他进程中??

丶烟花易散

这些事交给卡巴就行了 哈哈哈哈

丶烟花易散

回复 6楼 Hacker29cn 的帖子

请不要连续3连

nkspark

Hacker29cn 发表于 2011-4-24 17:16
掌握证据，揪出元凶——跟我学习CIMA，让更多人了解病毒的行为（之二）

紧接第一部分的讲解，本部分理解 ...

学习了。

Hacker29cn

回复 125楼 nkspark 的帖子

你是云安全首席架构师？

Hacker29cn

回复 122楼 抱金砖 的帖子

又是抱金砖啊，哈哈。问得好。创建进程和插入进程是两码事。创建是又多了，插入是现存的进程。举个例子，本来就有3个SVCHOST进程，现在运行病毒后变成4个了，那就是创建进程了。本来是3个，现在还是3个，只不过第三个SVCHOST加载了木马模块，已经不是原来那个SVCHOST了，但是进程数依然是那么多，我们说这就是插入了某个进程！打个比方，假设你是男的，你原来是单身汉，没有女友，但是后来你交了个女友，这就是创建。你交了女友以后，女友怀孕了，在没生产之前，虽然还是你们两个人，但是女友体内已经有了你的骨肉，这个过程就叫做插入，虽然你们人数没变，但是实质已经发生变化！

Hacker29cn

回复 121楼 抱金砖 的帖子

请赐教？埃及？法老？金字塔？

抱金砖

Hacker29cn 发表于 2011-5-6 21:35
回复 121楼 抱金砖 的帖子

请赐教？埃及？法老？金字塔？

http://anubis.iseclab.org/
哈哈  好像叫做阿努比斯

抱金砖

Hacker29cn 发表于 2011-5-6 21:33
回复 122楼 抱金砖 的帖子

又是抱金砖啊，哈哈。问得好。创建进程和插入进程是两码事。创建是又多了，插 ...

Threads CreatedPId        Process Name        TId        Start        Start Mem        Win32 Start        Win32 Start Mem
0x2b0        lsass.exe        0x2fc        0x7c810856        MEM_IMAGE        0x75738e06        MEM_IMAGE
0x2b0        lsass.exe        0x4c0        0x7c810856        MEM_IMAGE        0x77e76bf0        MEM_IMAGE
0x378        wmiprvse.exe        0x148        0x7c810856        MEM_IMAGE        0x0        MEM_FREE
0x378        wmiprvse.exe        0x30c        0x7c810856        MEM_IMAGE        0x5f771c49        MEM_IMAGE
0x378        wmiprvse.exe        0x310        0x7c810856        MEM_IMAGE        0x716df2be        MEM_IMAGE
0x378        wmiprvse.exe        0x3bc        0x7c810856        MEM_IMAGE        0x0        MEM_FREE
0x378        wmiprvse.exe        0x448        0x7c810856        MEM_IMAGE        0x100ce42        MEM_IMAGE
0x378        wmiprvse.exe        0x464        0x7c810856        MEM_IMAGE        0x774f319a        MEM_IMAGE
0x378        wmiprvse.exe        0x568        0x7c810867        MEM_IMAGE        0x1024636        MEM_IMAGE
0x3f4        svchost.exe        0xdc        0x7c810856        MEM_IMAGE        0x762cf0a3        MEM_IMAGE
0x3f4        svchost.exe        0x414        0x7c810856        MEM_IMAGE        0x75219a1e        MEM_IMAGE
0x3f4        svchost.exe        0x418        0x7c810856        MEM_IMAGE        0x762cf010        MEM_IMAGE
0x3f4        svchost.exe        0x560        0x7c810856        MEM_IMAGE        0x7c929fae        MEM_IMAGE
0x3f4        svchost.exe        0x5f8        0x7c810856        MEM_IMAGE        0x762cf0a3        MEM_IMAGE
0x3f4        svchost.exe        0x658        0x7c810856        MEM_IMAGE        0xbc01        MEM_FREE
0x3f4        svchost.exe        0x6a0        0x7c810856        MEM_IMAGE        0x774f319a        MEM_IMAGE
0x424        svchost.exe        0x6d0        0x7c810856        MEM_IMAGE        0x77df9981        MEM_IMAGE
0x6ac        SmartTool.exe        0x6ec        0x7c810867        MEM_IMAGE        0x403a8c        MEM_IMAGE
0x6ac        SmartTool.exe     

不是呀
线程与进程的区别这个我懂
换句话说上述那些模块都是由上传的那个exe释放出来的? 还是说被插入上述进程中?