小S属性G下栽后,看到里面有3个注册表文件,查看了一下,发现其中的内容是:
1、★先点我★.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page"="
看懂了吗?这个是修改你的主页
2、启动.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="c:\\InjectLoader.dll"
在网上找了一下关于InjectLoader.dll的内容,发现如下:
这几天飞飞G闹的沸沸扬扬的,很多人说有木马,会有键盘记录什么的
飞飞主要能称的上外挂的东西就是一个
InjectLoader.dll只是一个注射程序,把drv.dll注射进DNF.exe的 刚查了下版本
确实有人在更新
大家可以注意,从最早的inter什么的开始一直到现在,所有修改过的程序只有drv.dll
说明了什么?而木马是一开始就有的。。
InjectLoader.dll是用VC++ 8.0写的,无壳
也是用vc++ 8.0写的,也无壳,但是加了好多混乱代码,换句话说就是里面的代码反汇编看上去啥都不是。。。
用虚拟机技术做的
实现很简单,加个文件头就可以了,破解起来查了下资料,估计是个很困难的事情
问题有2个
1 木马到底在哪个文件里,就这2个文件有可能有问题
( I而且2个文件注射方式不一样,偶强烈怀疑木马在InjectLoader.dll里
因为根据加载方式,InjectLoader.dll是从系统开机到关机一直在运行的
而drv.dll是检测到DNF.exe开启才注射进去的
既然木马是虾米QQ木马,那他基本上应该是InjectLoader.dll里了。。
还有,有人发的工作室的截图里有写内部挂.exe,那东西原理应该和InjectLoader.dll的部分功能相同
注射drv.exe进DNF的,不过那个东西应该是没马的,毕竟工作室利益在那,他们买个挂在有马,谁买 )
所以强烈怀疑木马在InjectLoader.dll里
2 能不能做到干掉木马而能用挂,或者说自己写个内部版.exe这样的东西注射进去?
对逆向有研究的人可以出来了,现在不是潜水的时候,而且感觉只要注射进去就好
不需要调用任何函数,这个用E写出来应该可以吧?
/ 另外附加3个注射方法:
1 HOOK+DLL
2 createremotethread+dll
3 在目标程序内分配内存直接写进去...
其他的文件是脚本 大家打开auto1.tsc和auto2.tsc就看到了 其中auto2.tsc里最后有个脚本翻译成中文是回城后 发送10W钱给***
严重注意一下,下面这句话!!!!!!
3、停止
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"=""
抱歉,我也没看懂,毕竟偶不是专业搞程序的。
现在大家明白了吗??!!
