事情是这样的,早上我在论坛发了一个CF的透视注入,版主和技术组成员发现运行后会释放远控木马程序

原帖链接：http://bbs.houdao.com/r13055263/

之后我就一遍又一遍的看我写出来的源码（只是一个注入）

发现什么毛病也没有,很正常的思路,除了写入DLL,没有其他.

然而,卡卡bug提醒了我模块的原因,并且发给我了一个正版的Super-EC.（问题就是出在这里）

描述:TBG%EW4D9FOTR1F00MAOH75.png

乍一看确实看不出来什么,大小很相似,只相差1k左右.

然后我就在源码的模块引用中更换了引用,编译测试.

没错,的确是模块有后门,在我更换了模块之后并没有释放文件.

这个是有后门的模块编译出来的，查毒链接：http://fireeye.ijinshan.com/analyse.html?md5=f40e4989b31671679acf6f17fc24b15b&sha1=7e2b0cda4c14e24e46ac07cf07b45d0b615cb8da&type=1

这个是没有后门的模块编译出来的：http://fireeye.ijinshan.com/analyse.html?md5=544c73902cb26fdea7da25f0a15b8c7c&sha1=ade53610c0faad35745817a08fae2c931daf771f&type=1

火眼查毒很清楚地指出了有后门的文件在运行过程中的网络行为：

描述:S]EOD10NQH{J`4NSBH44)VI.png

而没有后门的模块根本没有任何网络行为,都是本地操作.

上传之后我也发火眼查毒链接了,不过因为是我自己写的,就没有认真看软件行为.

希望猴子们引以为戒.不要认为有查毒链接就一定安全,下载之后一定要自己用火眼查毒再查一遍,以免中招.

这里是我所用到的模块：http://share.weiyun.com/91af0d8ccf57525566fc51b3e9d18032

下载过我发的那个透视的,在任务管理器里面找到文件位置为C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe的进程

把这个进程结束,然后把这个位置下的svchost.exe和svchost.bat删除就好了.

在这里发这个帖子不是为了别的,只是澄清一下和告诉猴子们解决的方法,

哦

字太多，不明觉厉

  有不小心用到的 赶紧试试解决方法

没试

为何我编译没有 你却有？  自己捆绑就不要多说了

妈的终于解决了 电脑里果然有  怕怕了的

真的,我用到有后门的模块了,麻烦你下载我发的那个模块你试下

我居然看完了

感谢

终于解决了
怪不得登不上游戏

看看  反正我也不用G

看不懂

作为没下载，不玩挂，号被封的人上不了游戏的人居然看完了

不明真相的绿色玩家路过

还好我没有。。

看完了

清者自清

反正俺又不开挂