今天上论坛看见有人私信我,叫我看看有没有盗号的
先看看辅助的样子
[p_w_upload=7428279]
[p_w_upload=7428281]
[p_w_upload=7428282]
测试开始:
1.
[p_w_upload=7428278]
先检测是否有壳,
出现的是Microsoft Visual C++ 6.0 表示无壳,这样我们就可以直接进入OD不需要再去脱壳。
2.
接着载入OD
[p_w_upload=7428284]
我们查看它释放的文件有哪些
[p_w_upload=7428285]
看到这里得知。它会弹出一个网盘。中文搜索引擎, 条目 0
[color=#ff0000]地址=00401671
反汇编=push 00488CBC
文本字符串=http://XXXXXXX.ys168.com[/color] (这里我就用X代表,不然他们要说我打广告)[s:263]
然后我们接着往下找
发现了主要释放的dll文件
[p_w_upload=7428298]
中文搜索引擎, 条目 48
[color=#ff0000]地址=00407C9E
反汇编=push 0053A687
文本字符串=\SkinH_EL.dll (这是一个皮肤文件不用管他)[/color]
[color=#ff0000]中文搜索引擎, 条目 55
地址=0040863C
反汇编=push 0055010C
文本字符串=\1.dll ( 好了我们主要看这里 这里释放了一个1.dll文件我们暂时不知道是干嘛)[/color]
[color=#ff0000]
中文搜索引擎, 条目 57
地址=004086BB
反汇编=push 006E711B
文本字符串=\DLL.dll (这里出现的dll.dll应该是辅助的文件)[/color]
通过查到发现了DLL.dll为辅助功能的文件。
至于1.dll发现了应该是被人加载进去的,(应该为盗号迹象。)
请不要下载使用
[p_w_upload=7428412]
这是我提取出来的dll文件发现了 over 1.exe的文件 (这东西被加载不干净的)
ps:我不知道,这是从哪里下载的,也许是被人加载了一些木马进去,在到网上放出来的,(也许是官方网放出来,这我不得而知)
我不是针对某作者或者诋毁,
本次纯属友情检测~!
[color=#ff0000]是挂三分毒,请谨慎下载使用![/color]
帖子原帖:[url]http://bbs.houdao.com/read.php?tid=8356026[/url] 提醒:这帖子里的辅助谨慎下载,最后不要下载~!报毒太高,里面还被加载乱七八糟的东西,(珍爱账号啊)
@ergno
检测结束
2013年10月27日 14:13:21
