《为帐号保驾护航》——关于如何判断辅助是否有毒

社区服务
高级搜索
猴岛论坛跑跑卡丁车《为帐号保驾护航》——关于如何判断辅助是否有毒
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
40个回复

[玩家交流]《为帐号保驾护航》——关于如何判断辅助是否有毒

楼层直达
°化性起伪丶

ZxID:18269485

等级: 大尉
http://y693053611.ys168.com/
举报 只看楼主 使用道具 楼主   发表于: 2012-09-05 0

  自从08年老汉推车之后,各种腐竹层出不穷,看的我们是眼花缭乱,难辨真假。以下是自己判断辅助是否捆绑其他恶意软件的方法,以免遭受盗号之痛(虽然跑跑帐号不是很值钱,但还是有些人。。。你懂的。。。)
  方法很简单,在这里我们需要使用一个在线分析系统(不是所谓的在线查毒
有两个网址:http://camas.comodo.com(这个是大名鼎鼎的comodo,全英文界面,不支持压缩包,只能上传exe文件)
                                    http://fireeye.ijinshan.com(这个是金山推出的在线分析,类似于沙盘的功能,全中文界面,支持压缩包,可以上传exe及dll文件进行分析,但是需要先注册后才能使用。)
   在这里就以论坛里面很火的“自动改装”辅助为例来进行分析(注:此处的自动改装是被人绑马后的)
  直接上图:
1.金山火眼分析的



  • 文件名称:全自动车辆改装,轻松3红.zip
  • 文件哈希:73a644bb71d39bb44ba8e9a8d7834c00
  • 文件大小:2.12MB
  • 创建时间:2012-09-05 18:11:12
  • 文件类型:ZIP
  • PEID信息:Not a valid PE file
火眼点评


      利用全局消息钩子注入指定文件到其他进程;检测是否存在指定注册表键;添加开机自启动项;查找文件;创建互斥体;创建进程;搜索指定窗口;疑似捆绑多个文件,警惕流氓软件捆绑推广或病毒捆绑传播(需与正常安装包区分开);设置文件属性
危险行为监控

  • 行为描述:利用全局消息钩子注入指定文件到其他进程附加信息:%system%\karnel32.dll【注入模块】karnel32.dll【钩子类型】0x00000002,0x00000007【目标进程】
其他行为监控


  • 行为描述:设置文件属性附加信息:
    %system%\KartSvr.exe >> HIDE >> SYSTEM%system%\karnel32.dll >> HIDE >> SYSTEM

  • 行为描述:疑似捆绑多个文件,警惕流氓软件捆绑推广或病毒捆绑传播(需与正常安装包区分开)附加信息:
    joined.exe全自动车辆改装.exe

  • 行为描述:搜索指定窗口附加信息:
    ["" , "Login"]["" , "PopKart Client"]

  • 行为描述:创建进程附加信息:
    %system%\KartSvr.exe%system%\cmd.exe
    %temp%\Joined.exe%temp%\ope4.exe
    %temp%\全自动车辆改装.exe

  • 行为描述:创建互斥体附加信息:
    "_MATCHTHREADEVENT_2011_""oleacc-msaa-loaded"
    "vivi Pirate install""vivi Pirate server"

  • 行为描述:查找文件附加信息:
    "%temp%\2024全自动车辆改装""%temp%\2024全自动车辆改装\TC.lc"
    "%temp%\2024全自动车辆改装\api.xml""%temp%\2024全自动车辆改装\main.twin"
    "%temp%\2024全自动车辆改装\matchDll.dll""%temp%\2024全自动车辆改装\matchLib.dll"
    "%temp%\2024全自动车辆改装\sourseTemp.bak""%temp%\2024全自动车辆改装\光启动变形最佳.bmp"
    "%temp%\2024全自动车辆改装\光启动变形集气.bmp""%temp%\2024全自动车辆改装\尖启动变形最佳.bmp"
    "%temp%\2024全自动车辆改装\尖启动变形组队.bmp""%temp%\2024全自动车辆改装\测试.bmp"
    "%temp%\2024全自动车辆改装\魔启动变形组队.bmp""%temp%\2024全自动车辆改装\黑启动变形最佳.bmp"
    "%temp%\2024全自动车辆改装\黑启动变形集气.bmp"

  • 行为描述:添加开机自启动项附加信息:
    [KartSvr] - %system%\KartSvr.exe[KartSvr] : %system%\KartSvr.exe

  • 行为描述:检测是否存在指定注册表键附加信息:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Comdlg32HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network

文件操作监控

操作文件MD5文件大小文件路径
释放后删除0"%temp%\2024全自动车辆改装\TC.lc"
新增6cb2eebe1cbb27d5233f87c4061a0d8e108594%temp%\2024全自动车辆改装\黑启动变形集气.bmp
新增ffa623c028b7ad75c629df8faf3ff2ba65536%system%\karnel32.dll
新增1e1bf4d22e60ac18057beedb3483b17d109398%temp%\2024全自动车辆改装\黑启动变形最佳.bmp
新增d41d8cd98f00b204e9800998ecf8427e0%temp%\ope4.tmp
新增5bc1ac9bbd0f0ebe6998a5d08ae7dd0e28672%system%\KartSvr.exe
新增0d791c8415cb05f846611e392b36e105106718%temp%\2024全自动车辆改装\光启动变形最佳.bmp
新增9ed0de4fc7ca19f4df5fd20ed943a26c38850%temp%\2024全自动车辆改装\测试.bmp
新增7bdf556ed529cade293036a19caea2e33500544%temp%\全自动车辆改装.exe
新增456802ac649db2c0efed0744983b9f38143348%temp%\Joined.exe
新增2102a40cc271d2c6cfa42881e5cfea84108054%temp%\2024全自动车辆改装\尖启动变形组队.bmp
新增28c4ca703479b46518f442792d96f15f414208%temp%\2024全自动车辆改装\matchDll.dll
新增9a7fad614840d825f2b0d17c6401d0e64090%temp%\2024全自动车辆改装\main.twin
新增e77b38a68714b84783e11f023d18f9a43216896%temp%\2024全自动车辆改装\matchLib.dll
新增86c79412a888c04790e4aef98152a93e109654%temp%\2024全自动车辆改装\尖启动变形最佳.bmp
新增9b4b57f2cfd90a8bc3a8504397f56250102926%temp%\2024全自动车辆改装\sourseTemp.bak
新增910e39e808e43af45f945e34357bbdc6108854%temp%\2024全自动车辆改装\魔启动变形组队.bmp
新增584b45a4f5b5774ce04eeac894e34a0d109134%temp%\2024全自动车辆改装\光启动变形集气.bmp
进程操作监控

  • <div title="" %temp%\ope4.exe""="" class="signline" style="overflow: hidden; white-space: nowrap; word-break: break-all; text-overflow: ellipsis; width: 618px; ">创建进程:"%temp%\ope4.exe"

启动参数:无<div title="" %system%\kartsvr.exe""="" class="signline" style="overflow: hidden; white-space: nowrap; word-break: break-all; text-overflow: ellipsis; width: 618px; ">创建进程:"%system%\KartSvr.exe"
启动参数:无
创建进程:无<div title="" %system%\cmd.exe="" c="" del="" %temp%\ope4.exe="" style="width: 618px; ">nul"" class="signline">启动参数:"%system%\cmd.exe /c del %temp%\ope4.exe > nul"<div title="" %temp%\joined.exe""="" class="signline" style="overflow: hidden; white-space: nowrap; word-break: break-all; text-overflow: ellipsis; width: 618px; ">创建进程:"%temp%\Joined.exe"
启动参数:无<div title="" %temp%\全自动车辆改装.exe""="" class="signline" style="overflow: hidden; white-space: nowrap; word-break: break-all; text-overflow: ellipsis; width: 618px; ">创建进程:"%temp%\全自动车辆改装.exe"
启动参数:无
注册表监控
  • 新增
  • 删除
  • 修改


  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[KartSvr] = [%system%\KartSvr.exe]
    在这里我们需要注意的内容一般就是文件创建那一项,因为大多数病毒和盗号软件都是需要通过释放文件和创建进程来达到自己不可告人的目的的。。一般在系统盘创建exe文件,释放文件等行为都是非常可疑的。百分之80可以判断为病毒
(注意里面红色标注的地方
最后我来总结一下:一般来说,捆绑了木马的辅助,在你点击的时候一般都会忙着先释放病毒,然后在打开相应的辅助等待你输入帐号和密码。所以,在使用在线分析的时候主要就是看其是否在系统盘创建exe文件是否添加开机启动项是否创建驱动,是否自动启动某程序,是否自动连接网络
有毒,小心测试).zip[点击下载](2174 K) 下载次数:1 累计下载获得 DB 2(该附件已加密,需要测试的M我)

本帖de评分: 3 条评分 DB +103
DB+2 2012-09-10

好贴!

DB+1 2012-09-06

我靠,我的脚本谁绑了木马。你在哪里下载的?

DB+100 2012-09-05

辛苦、

别了,心爱的跑跑卡丁车http://y693053611.ys168.com/
°化性起伪丶

ZxID:18269485

等级: 大尉
http://y693053611.ys168.com/
举报 只看该作者 40楼  发表于: 2012-09-16 0
我来手工置顶。。。。
别了,心爱的跑跑卡丁车http://y693053611.ys168.com/
myyi027

ZxID:17172526

等级: 少将
一笑而过
举报 只看该作者 39楼  发表于: 2012-09-10 0
值得学习
艹丿殇丶吥起丶

ZxID:16259864

等级: 大将

举报 只看该作者 38楼  发表于: 2012-09-10 0
  呵呵
情缘83

ZxID:18825561

等级: 上将
举报 只看该作者 37楼  发表于: 2012-09-10 0
好贴!
°化性起伪丶

ZxID:18269485

等级: 大尉
http://y693053611.ys168.com/
举报 只看该作者 36楼  发表于: 2012-09-10 0
回 35楼(jsbywsyr) 的帖子
壳好比衣服,解释完毕
别了,心爱的跑跑卡丁车http://y693053611.ys168.com/
jsbywsyr

ZxID:17787913

等级: 下士
举报 只看该作者 35楼  发表于: 2012-09-10 0
写的很详细,不过不太全面,应该针对目前比较有争议的‘加壳’方法来个解释
°化性起伪丶

ZxID:18269485

等级: 大尉
http://y693053611.ys168.com/
举报 只看该作者 34楼  发表于: 2012-09-10 0
回 30楼(猴岛、潜水员) 的帖子
低级的捆绑可以,高级的不行。。普通的可以,复杂的不行
别了,心爱的跑跑卡丁车http://y693053611.ys168.com/
zhaoxin10

ZxID:19398009

等级: 少将
举报 只看该作者 33楼  发表于: 2012-09-09 0
不懂
装B丶bi踹烂o

ZxID:18172019

等级: 大元帅
配偶: 牛奶糖oo
┏━┓       ┃一┃爱生活爱金钱 ┃队┃爱家人爱女人 ┗━┛

举报 只看该作者 32楼  发表于: 2012-09-09 0
收藏了
xuri258

ZxID:12209874

等级: 元帅

举报 只看该作者 31楼  发表于: 2012-09-09 0
太高深了啊,,。,。

际遇之神

奖励

xuri258在大街上捡到3DB  飞快的跑回家躲着.

猴岛、潜水员

ZxID:18244286

等级: 上将
举报 只看该作者 30楼  发表于: 2012-09-09 0
MD5就可以啊
今夜我在谁身上用力,而妳又在谁身下喘气
皮蛋002

ZxID:4268971

等级: 少尉
举报 只看该作者 29楼  发表于: 2012-09-09 0
很好很强大
妹Z_给哥笑一个

ZxID:18193033

等级: 上校
together is to get her~~~
举报 只看该作者 28楼  发表于: 2012-09-09 0
回 21楼( βヽ揷λ°) 的帖子
神马情况
亡灵曲散兵

ZxID:17438871

等级: 大尉
举报 只看该作者 27楼  发表于: 2012-09-09 0
技术宅

际遇之神

奖励

捡到版主移动硬盘,要挟成功,得6DB

ddoonngg_

ZxID:18996305

等级: 少校
哇伊娃卡民大哟
举报 只看该作者 26楼  发表于: 2012-09-09 0
嗯,有道理,网址收藏了
wyslzcx

ZxID:13294802

等级: 大校
金麟岂是池中物,一遇风云便化龙。
举报 只看该作者 25楼  发表于: 2012-09-09 0
好东西,感谢热心人。
Xdingdang

ZxID:19452633

等级: 上士
前前后后,左左右右...
举报 只看该作者 24楼  发表于: 2012-09-09 0
还不错,谢谢分享啦

际遇之神

惩罚

抢沙发不成,与楼上的斗殴,处以治安罚款DB10

xgnewlife

ZxID:11521461

等级: 少校
举报 只看该作者 23楼  发表于: 2012-09-09 0
我是来看5L个性签名图片的,尼玛 波涛汹涌啊
http://bbs.houdao.com/f371
°化性起伪丶

ZxID:18269485

等级: 大尉
http://y693053611.ys168.com/
举报 只看该作者 22楼  发表于: 2012-09-09 0
我直接来手工置顶
别了,心爱的跑跑卡丁车http://y693053611.ys168.com/
« 返回列表
发帖 回复