首页
论坛
课程
招聘
[原创]我贴一个第三阶段和木马驱动无关的ring3方法
2008-11-2 21:10 14340

[原创]我贴一个第三阶段和木马驱动无关的ring3方法

2008-11-2 21:10
14340
大家爆,我也爆吧。。。

这个是我第三阶段的第一个ring3方法,没分析驱动就直接用了,试了很好用,不过需要重启

重启前:
找到木马文件对应硬盘上的扇区,直接写扇区破坏木马文件

重启后:
批处理删掉木马尸体和注册表垃圾

重启前的DeleteFileBySection代码见附件
delfile.cpp
#include <windows.h>
#include <stdio.h>
#include "DeleteFileBySection.h"

char szSysdir[MAX_PATH];
char szfile[MAX_PATH];

int main()
{
	CDeleteFileBySection delfile;
	GetSystemDirectory(szSysdir,MAX_PATH);
	strcpy(szfile,szSysdir);
	strcat(szfile,"\\drivers\\HBKernel32.sys");
	if(delfile.DeleteFile(szfile))
		printf("delfile Success! : %s\n\n",szfile);
	else
		printf("delfile Failed! : %s\n\n",szfile);

	strcpy(szfile,szSysdir);
	strcat(szfile,"\\System.exe");
	if(delfile.DeleteFile(szfile))
		printf("delfile Success! : %s\n\n",szfile);
	else
		printf("delfile Failed! : %s\n\n",szfile);

	strcpy(szfile,szSysdir);
	strcat(szfile,"\\HBQQXX.dll");
	if(delfile.DeleteFile(szfile))
		printf("delfile Success! : %s\n\n",szfile);
	else
		printf("delfile Failed! : %s\n\n",szfile);

	printf("Done! Reboot system!\n");
	getchar();
	return 0;
}


重启后的批处理:
clean up.bat
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HBKernel32 /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v HBService32 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
del /f %SYSTEMROOT%\system32\drivers\HBKernel32.sys
del /f %SYSTEMROOT%\system32\system.exe
del /f %SYSTEMROOT%\system32\HBQQXX.dll

[2022冬季班]《安卓高级研修班(网课)》月薪三万班招生中~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (19)
雪    币: 454
活跃值: 活跃值 (17)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
dttom 活跃值 3 2008-11-2 21:36
2
0
海风大牛,上面这个我在运行的时候,会显示“错误: 命令行参数太多”不知如何实现?
雪    币: 7062
活跃值: 活跃值 (3341)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
海风月影 活跃值 22 2008-11-2 21:46
3
0
命令里面有空格,更新了一下,用引号引起来就可以了
顺便把删除改成直接改写成空
雪    币: 454
活跃值: 活跃值 (17)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
dttom 活跃值 3 2008-11-2 22:05
4
0
我试试看,昨天我加引号,怎么也运行不了,后来改成注册表导入。
雪    币: 420
活跃值: 活跃值 (15)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
mstwugui 活跃值 6 2008-11-2 22:09
5
0
膜拜,真精简阿
雪    币: 462
活跃值: 活跃值 (981)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-11-2 22:14
6
0
学习学习~~
雪    币: 7062
活跃值: 活跃值 (3341)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
海风月影 活跃值 22 2008-11-2 22:16
7
0
没有乌龟大师那么强悍的分析能力,只能剑走偏锋了
雪    币: 51
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
少爷 活跃值 2008-11-2 22:17
8
0
支持海风MM!!!
雪    币: 8669
活跃值: 活跃值 (1188)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2008-11-2 23:41
9
0
boot == 0 的driver,闪了文件无法启动的干活~~
雪    币: 270
活跃值: 活跃值 (74)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
cxhcxh 活跃值 3 2008-11-2 23:44
10
0
学习了.....................
雪    币: 7062
活跃值: 活跃值 (3341)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
海风月影 活跃值 22 2008-11-2 23:45
11
0
没删文件啊,把文件改成了windows不认识的文件而已
雪    币: 219
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
glery 活跃值 2 2008-11-3 09:17
12
0
膜拜风月……
雪    币: 47
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
nkspark 活跃值 3 2008-11-3 11:36
13
0
还是自家兄弟牛~~~~
雪    币: 2025
活跃值: 活跃值 (33)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
sessiondiy 活跃值 4 2008-11-3 11:45
14
0
快变双胞胎了
雪    币: 420
活跃值: 活跃值 (15)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
mstwugui 活跃值 6 2008-11-3 11:46
15
0
三胞胎了,还有另一个id
雪    币: 10880
活跃值: 活跃值 (3317)
能力值: ( LV15,RANK:2338 )
在线值:
发帖
回帖
粉丝
ccfer 活跃值 16 2008-11-3 12:00
16
0
流行吗,我看好乌龟大师的头像了
雪    币: 87
活跃值: 活跃值 (325)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
frozenrain 活跃值 2008-11-3 13:16
17
0
这思路牛X 写扇区很邪恶 前天MBR给写了,啥也没了
雪    币: 249
活跃值: 活跃值 (30)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
chimney 活跃值 3 2008-11-3 14:11
18
0
顶,真精简阿,膜拜下。

我看好ccfer大侠的头像!
雪    币: 77
活跃值: 活跃值 (743)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
mavermaver 活跃值 3 2008-11-13 21:52
19
0
这大概就是传说中的“文件粉碎机”,全写满恐怕连盘也毁了,威力无比呀。
雪    币: 200
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Xusually 活跃值 2008-12-12 17:23
20
0
KAO,还有这么干的。。。。。

牛。。
游客
登录 | 注册 方可回帖
返回