首页
论坛
课程
招聘
[原创]庖丁解毒之中华吸血鬼分析
2010-11-3 11:24 8876

[原创]庖丁解毒之中华吸血鬼分析

2010-11-3 11:24
8876
“中华吸血鬼”是个蠕虫病毒,病毒通过U盘、局域网弱密码猜解、网页挂马、dll劫持等方式传播。该病毒会在%systemroot%/Tasks/中释放多个病毒文件,通过修改注册表键值实现开机自动启动,为了躲避杀毒软件查杀,该病毒还会关闭破坏多种主流杀毒软件和安全工具,并且会屏蔽常见安全网站。病毒会每隔360000ms下载一次新病毒到本地运行,达到其不断更新的目的,还会删除Windows目录中help下的所有文件,电脑一旦感染此病毒,可能会给系统带来很大安全威胁。带着学习和过招的态度,我找到了吸血鬼2.1病毒样本,并对它进行“庖丁解毒”探个究竟。
..................

[公告]请完善个人简历信息,好工作来找你!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (24)
雪    币: 188
活跃值: 活跃值 (88)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wujimaa 活跃值 1 2010-11-3 11:29
2
0
谢了,学习.
雪    币: 188
活跃值: 活跃值 (88)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wujimaa 活跃值 1 2010-11-3 11:31
3
0
楼主传个样本,学习.
雪    币: 1776
活跃值: 活跃值 (109)
能力值: ( LV12,RANK:480 )
在线值:
发帖
回帖
粉丝
熊猫正正 活跃值 9 2010-11-3 11:40
4
0
support~~把样本传上来吧~~
雪    币: 210
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lkdsgrjra 活跃值 2010-11-3 11:56
5
0
下来看看。。谢谢分享。
雪    币: 1776
活跃值: 活跃值 (109)
能力值: ( LV12,RANK:480 )
在线值:
发帖
回帖
粉丝
熊猫正正 活跃值 9 2010-11-3 13:04
6
0
谢谢分享~~
雪    币: 264
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
avzz 活跃值 2010-11-4 16:06
7
0
这是啥时候的病毒 这么赤裸裸。。。 哈哈
雪    币: 142
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xiejienet 活跃值 2010-11-4 17:47
8
0
太恶心了,作者一定是心理阴暗
雪    币: 61
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fkueihcy 活跃值 2010-11-4 21:05
9
0
看了一下
楼主写的很详细,顶一下
雪    币: 226
活跃值: 活跃值 (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
youstar 活跃值 2 2010-11-4 23:31
10
0
刚看了一页,TerminateProcess能结束360tray.exe、ast.exe、AST.exe,不是很相信,多久调试下~谢谢分享
雪    币: 2336
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
A伯 活跃值 2010-11-4 23:34
11
0
超好的学习资料,,,,模拟 enter  ,,,太好玩了
雪    币: 1162
活跃值: 活跃值 (48)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
ycmint 活跃值 5 2010-11-5 00:30
12
0
不错。。。。学习ing
雪    币: 211
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
nbdelphi 活跃值 2010-11-5 08:40
13
0
顶一下!!!!
雪    币: 13
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Greater 活跃值 2010-11-5 09:58
14
0
恩  
好东东
顶楼主啦
哈哈
下载回去慢慢欣赏啦
雪    币: 13
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Greater 活跃值 2010-11-5 11:25
15
0
00402E96 . FFD3 CALL EBX ; kernel32.Sleep

为什么我调试到 这儿摁f8还是跟进kernel32.dll然后 就结束了呢
望解答 。。。。。。。。。。
雪    币: 190
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cscncllf 活跃值 2010-11-5 12:39
16
0
谢了,学习.
雪    币: 401
活跃值: 活跃值 (36)
能力值: ( LV15,RANK:310 )
在线值:
发帖
回帖
粉丝
dragonltx 活跃值 6 2010-11-5 12:46
17
0
因为之前的代码创建了一个线程004030B6,里面调用WinExec隐蔽执行killme.txt,删除unpacked.exe,所以运行到那里就结束了!我在文章里有提到!
雪    币: 13
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Greater 活跃值 2010-11-5 14:37
18
0
看到了
本来想自己先调试然后再看你的分析
可惜到这儿断了
只好看你的文章啦
雪    币: 230
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
winnip 活跃值 1 2010-11-6 16:55
19
0
无限失望。
雪    币: 37
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wudidaoshi 活跃值 2010-11-6 20:37
20
0
你确定他能关掉这些??
雪    币: 236
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Dao丫an 活跃值 2010-11-7 21:29
21
0
很好 关注中
雪    币: 89
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
miaoling 活跃值 2010-11-8 21:12
22
0
给楼上的各位提醒一下,中华吸血鬼是开源的!
雪    币: 90
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wangyuchen 活跃值 2010-11-8 21:19
23
0
老大牛人,支持了,学习了
雪    币: 336
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
microdebug 活跃值 6 2010-11-8 21:29
24
0
surport
雪    币: 29
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
webwizard 活跃值 2010-11-9 06:46
25
0
不错 。下载下来拜读 。
游客
登录 | 注册 方可回帖
返回