下沙论坛

标题: 对安全技术有兴趣的进来练个手 [打印本页]

作者: Eagle    时间: 2005-3-2 21:37
标题: 对安全技术有兴趣的进来练个手
yPFUoKHE.rar (14.86 KB, 下载次数: 2)
% g* j% ~2 K7 U$ C+ W; u  }一个QQ病毒,PEtite 2.2的壳,有兴趣来练练手。
作者: 煎饼    时间: 2005-3-3 15:10
不敢,啪啪怕
作者: Eagle    时间: 2005-3-3 16:02
没事儿,试试又不妨,大不了QQ就不知道归谁了。
作者: 游侠无极限    时间: 2005-3-3 18:34

什么也不会……

不过里面好像没有网络部分的代码,所以没有破坏力吧

ADVAPI32.RegCloseKey7 X% m% f$ \. L+ G ADVAPI32.RegCreateKeyExA 3 B" g* |. B4 O( C AADVAPI32.RegSetValueExA % S' R4 K+ ~7 _+ p3 h6 _; [% QKERNEL32.CloseHandle& O% S/ E& T% y% @ KERNEL32.CopyFileA- _. D9 q( s+ b KERNEL32.CreateEventA , {: v. R" [- `. A7 _KERNEL32.CreateProcessA 2 B0 U6 c% B9 n( S4 OKERNEL32.CreateToolhelp32Snapshot # ^$ S" [" G, H# A0 M& _6 lKERNEL32.FreeLibrary ) \% \5 q7 a3 _KERNEL32.GetLastError b' B0 H) W& _% Z9 ?KERNEL32.GetModuleFileNameA( S+ s# ]* T( A KERNEL32.GetModuleHandleA% f& f7 b9 V, N: l KERNEL32.GetProcAddress : x& B- j# r" E8 f& dKERNEL32.GetStartupInfoA % E4 J& x5 O o6 C+ U0 L c a; }KERNEL32.GetSystemDirectoryA ; w* j5 g- D+ n0 {$ z8 I( ]KERNEL32.GetWindowsDirectoryA % V; `; f% P/ b% `& N+ B9 H, ~4 yKERNEL32.LoadLibraryA " c V2 g! T% v2 wKERNEL32.Process32First9 H' q0 K3 q) q; T; A KERNEL32.Process32Next3 h% Q# U: m$ \" n, @5 Q KERNEL32.WaitForSingleObject 1 P6 ^$ O0 Z" I3 y7 M: i# KMFC42." k' `1 _8 N; `+ s6 { MFC42.% Y) ]1 t5 @) O: t: ]! h MFC42. ' J+ [6 f% n9 j2 Y& {MFC42. ; P1 d3 o5 k) w1 l( g1 _ KMFC42.' f5 g; _& T8 g/ g+ w ] ~ MFC42. $ m* h; m5 z% N, |. Y/ BMFC42.3 ^- } q: U6 q" a MFC42. 3 Y7 |5 v4 x; I" [' dMFC42. + u. G7 G" s+ ZMFC42. 2 `* d; H- `" e8 {' I: E7 K/ KMFC42.; a5 H( X9 z/ J MFC42.0 T9 f* q0 a9 l% u- d MFC42. ( X Q; p5 q; f; [; nMFC42.( \+ N7 E6 ]1 k% J! R. E MFC42. ( O* t+ p7 j3 t( LMFC42." ? a4 R4 U$ y2 J3 A MFC42.& ]& }6 [1 m; A/ b# J6 Y! L MFC42. ) y. B! E) H! rMFC42.$ k# [: n$ R( V$ X- f MFC42.7 M" w' K g/ I" @ MFC42. 0 w x/ n7 P7 wMFC42." c# d, `4 \& S5 u# T) @ MFC42. , Z' @8 X5 x5 r9 GMFC42., r! G. ^% H% _9 i' M MFC42. 7 V( y5 m; ~! ^) g! K/ xMFC42.6 X3 M& S9 T0 P. _; `3 { O( P# F MFC42.. T; V* w* c0 g7 l MFC42. 9 u9 N5 v) D1 L; y' v% H: sMFC42.2 r) z3 C! n$ e0 R1 j MFC42.$ J% B8 T ]; ~8 Q6 F MFC42.2 z# n( h6 q$ \; m# i9 S MFC42. + |; ^- D; P. x5 U. a$ _/ qMFC42.2 v$ q1 H7 A( f0 Z; e6 Q( s MFC42.* {' B/ J2 R: w5 r1 u+ J n MFC42. # a! ?. j$ c- W7 H6 nMFC42. 8 s0 I0 h+ h2 i% k) @4 q+ Q! v+ BMFC42.- l, C8 ?1 {4 o4 W8 K4 c MFC42. 1 D0 m+ k, h! u# e e! x; FMFC42. 7 i7 j) H% m, Q7 YMFC42. 2 j+ |9 {8 B" e& i* h9 e8 V7 S# xMFC42. . {5 R4 D) R) WMFC42. 4 l7 X: \1 Z/ f+ t2 Y2 x3 OMSVCRT.__CxxFrameHandler- b* f0 b9 Y; E N& r% k$ L; T MSVCRT.__dllonexit ! b9 R) {* E$ hMSVCRT.__getmainargs! _( [1 ]& _2 b0 [% o9 I MSVCRT.__p__commode: w# }* M0 T& A3 b, e MSVCRT.__p__fmode & g" {( B# ~( K HMSVCRT.__set_app_type & H: p o( U( E% W; v0 Q) AMSVCRT.__setusermatherr% L; N8 z4 A3 u' ] MSVCRT._controlfp8 ?) P- p o5 R8 h Q0 u MSVCRT._except_handler3% e7 ?) C; e) e/ |5 ^ MSVCRT._exit , @+ Y# A$ ?2 w& JMSVCRT._initterm& o2 M/ r3 J" W( p MSVCRT._onexit- V# X$ |. H7 m MSVCRT._setmbcp & [' }7 ]% I/ ~ M# ~9 [MSVCRT._strupr$ x5 C/ ~8 B5 Q& h' D. M8 s6 A MSVCRT._XcptFilter ( u% `4 W) h8 Y4 QMSVCRT.exit( `! R+ ]: I9 w+ \% S; @ MSVCRT.fclose - V( L' }9 x2 u. f6 R' }" IMSVCRT.fopen7 x, _; x' a' d) Q, V3 w MSVCRT.fread: x% a5 ^$ Q& r% J# h' {9 W MSVCRT.fseek ! V( i, C4 P( I* [( eMSVCRT.fwrite & e+ ~" t( K# X1 Z! C, b/ AMSVCRT.sprintf $ {+ ?. q2 i: ^MSVCRT.strrchr* Y4 o D/ `, q3 n MSVCRT.strstr ) J' V% Q4 W: k: GUSER32.EnumWindows 6 }# [, m& z4 i+ MUSER32.GetWindowThreadProcessId+ E: q4 h0 K4 Z, e USER32.PostMessageA + Y/ J) ?8 K) }# `4 V& xUSER32.WaitForInputIdle5 Y V1 f- ^) y+ F! b


作者: Eagle    时间: 2005-3-3 19:58

你已经把壳脱了?


作者: 游侠无极限    时间: 2005-3-3 20:01

Google后,找到

r!sc's petite 2.2/2.1 enlarger v1.0


作者: Eagle    时间: 2005-3-3 20:15
那MFC里的那些隐含函数呢?
作者: 游侠无极限    时间: 2005-3-3 20:18

不知道,用w32Dasm而已……

我这方面是小白……


作者: Eagle    时间: 2005-3-5 18:18

并不是所有的病毒木马有网络相关函数的。有些木马里面压缩了一个DLL,一切活动由那个DLL完成的。






欢迎光临 下沙论坛 (http://bbs.xiasha.cn/) Powered by Discuz! X3.3