对安全技术有兴趣的进来练个手

Eagle · 发表于 2005-3-2 21:37:00

yPFUoKHE.rar (14.86 KB, 下载次数: 2)
一个QQ病毒，PEtite 2.2的壳，有兴趣来练练手。

煎饼 · 发表于 2005-3-3 15:10:00

不敢，啪啪怕

Eagle · 发表于 2005-3-3 16:02:00

没事儿，试试又不妨，大不了QQ就不知道归谁了。

游侠无极限 · 发表于 2005-3-3 18:34:00

什么也不会……

不过里面好像没有网络部分的代码，所以没有破坏力吧

ADVAPI32.RegCloseKey$ I% N6 ^! L1 r" v7 E- Q ADVAPI32.RegCreateKeyExA u' {3 D/ \" M- k$ DADVAPI32.RegSetValueExA 0 A+ R! C& H/ d, `KERNEL32.CloseHandle L! s- u2 k& T/ ]KERNEL32.CopyFileA# Z- n, ~+ J* S: n; O KERNEL32.CreateEventA6 n7 Y( x; `# B7 i8 e7 Y KERNEL32.CreateProcessA 2 h5 |. ?# p: |5 p+ f5 xKERNEL32.CreateToolhelp32Snapshot5 K0 h3 Z# D! b; [6 Y KERNEL32.FreeLibrary: O, a0 E7 B3 a) d KERNEL32.GetLastError 6 b' @7 E& t5 tKERNEL32.GetModuleFileNameA: |' a; z5 K1 X: h; l$ o9 s KERNEL32.GetModuleHandleA/ a- g. F8 P- _7 O2 }' M8 u/ l KERNEL32.GetProcAddress + G8 }8 X( ~, tKERNEL32.GetStartupInfoA * A }0 ?) a2 \( _+ A! EKERNEL32.GetSystemDirectoryA* a& p7 k% R5 F& l- K/ B5 J8 a2 T KERNEL32.GetWindowsDirectoryA) i1 d$ l0 m% D KERNEL32.LoadLibraryA , \' I8 g1 i9 l1 a" CKERNEL32.Process32First : t2 p/ h. c/ r3 P& hKERNEL32.Process32Next3 m4 E8 P! ?& B" x% k+ | KERNEL32.WaitForSingleObject + Q2 _! A' W. m' Y7 G' O4 Y% H# t9 r+ dMFC42.3 v$ T) p0 l# c! ?% _- V) I MFC42. 2 e$ z% _5 J, z: z0 q2 B) lMFC42. + B, k$ O4 N% J' EMFC42. ' h5 @& E' ^; c6 p( AMFC42.2 V# ~7 ^- _* H: g% X9 u5 q' H2 Z MFC42.& L) u2 T$ k+ V) R; q MFC42. 1 a: c6 I' B" [7 uMFC42.1 T. z' S4 P& B" D# Y& C MFC42.6 A& l9 G- M# w: O5 b8 ?6 e3 H MFC42.9 [' Y- x1 ]7 i+ \0 Q5 b6 _ MFC42. ( _' s1 G% d; B, n8 n6 O& uMFC42.5 l l2 D4 L# H: ? MFC42. 0 o9 h! p# P- ^6 k8 ~& h' D' {MFC42.. D8 s# E" N0 [ MFC42.( \1 y$ z" v$ n, w: r MFC42.7 D; s6 z! C+ w) ^# |: M( i- v MFC42. # l) E! j0 F5 p1 rMFC42.3 l' P. t2 D+ ] MFC42.' f- B3 W/ E2 q MFC42. 7 g) l( I" G- f. gMFC42.% @$ A; }6 g/ a; p. m# [0 i. U MFC42. 8 l7 w( k; d/ YMFC42.) V" T4 g, K% I1 W" q. e% h MFC42.2 ~# a5 r1 N$ d MFC42.- H$ v4 W7 k9 ~3 O, z, N& o( [0 d. | A MFC42. % o) w6 o! k! q6 C3 x; D: a; z6 g, f, `MFC42.& Q" d2 f/ ^2 S6 v% K3 L MFC42., G7 g, h. A6 `% t4 A" x- V MFC42. 3 E. w6 ~& `2 _7 DMFC42. ( e+ ~3 ^5 d' C! sMFC42. 9 C+ P9 t' C2 ?( N2 DMFC42.7 a% y1 @) w3 f0 a# G" i1 J MFC42. 0 K: U S# L+ z2 \5 O2 AMFC42. 0 B5 ?# C6 B2 {MFC42. % C Y$ S$ \8 D* C* y' fMFC42.* U; G+ q1 @) }3 b MFC42. # w m6 \9 B6 e- MMFC42. & @7 ^0 ?+ t. o, rMFC42.0 w' f- Q8 y6 j# b% n MFC42.' C& V* K7 T7 r" k) B+ E! m MFC42. 3 U) `4 ]# X8 _3 l; W" |& l4 w" y. GMFC42. ; [: R3 y8 G3 H# q0 X8 \& WMSVCRT.__CxxFrameHandler ' e3 H) y1 ^, {2 }5 I$ i2 `& @MSVCRT.__dllonexit : ]2 N# J/ p& \8 A! x0 pMSVCRT.__getmainargs " F( j7 E& w* k% y/ n! W! J5 ZMSVCRT.__p__commode4 @. j+ ]9 I/ c- A6 q MSVCRT.__p__fmode 9 Z) j& q. ~- b" lMSVCRT.__set_app_type * R* X) p( |& F ^! RMSVCRT.__setusermatherr * r3 p& r# X( c' b9 G0 h6 rMSVCRT._controlfp2 c/ m! `4 d. p MSVCRT._except_handler3 8 A: r1 Q' r0 D% CMSVCRT._exit ! B* v8 W0 J' @5 I0 Y' cMSVCRT._initterm2 f5 L0 J. p% f+ w0 f6 ^# u2 K( }& K MSVCRT._onexit! j& |# a0 Z6 l5 i8 X5 a C MSVCRT._setmbcp% j. S4 @9 a9 Y+ ]2 M0 k MSVCRT._strupr + r3 s" v0 h' v6 e/ wMSVCRT._XcptFilter4 M+ Q8 V! u m: a3 @. x- A4 A MSVCRT.exit 1 Z% M0 }4 A! f! aMSVCRT.fclose / Z3 Q8 E. k y( _9 kMSVCRT.fopen7 l# D! @' T" S1 k$ Y- r MSVCRT.fread" E( Y& @: F7 [' d* F; C0 y* K MSVCRT.fseek * i8 H' i6 H" c/ ]5 I2 CMSVCRT.fwrite 3 N, Q) S' T0 zMSVCRT.sprintf' ?' q; Q8 }7 L& ]* G# Q MSVCRT.strrchr ; `' [) b5 M$ {/ O7 ~) KMSVCRT.strstr! z2 {6 A/ q( Q$ Z/ f2 E- Q USER32.EnumWindows- P' y, i* i! o! t1 O& L: W USER32.GetWindowThreadProcessId & r( N6 v* x: x/ Z6 FUSER32.PostMessageA" ?2 G9 k: p9 Z; `2 y4 O6 y USER32.WaitForInputIdle$ e/ B; r) j/ s5 _( J1 m

Eagle · 发表于 2005-3-3 19:58:00

你已经把壳脱了？

游侠无极限 · 发表于 2005-3-3 20:01:00

Google后，找到

r!sc's petite 2.2/2.1 enlarger v1.0

Eagle · 发表于 2005-3-3 20:15:00

那MFC里的那些隐含函数呢？

游侠无极限 · 发表于 2005-3-3 20:18:00

不知道，用w32Dasm而已……

我这方面是小白……

Eagle · 发表于 2005-3-5 18:18:00

并不是所有的病毒木马有网络相关函数的。有些木马里面压缩了一个DLL，一切活动由那个DLL完成的。

		自动登录	找回密码
密码			注册论坛(EC通行证)

对安全技术有兴趣的进来练个手

下沙大学生网推荐 /1