一个木马的简单分析 Mu PCshare(已删源文件)
本帖最后由 Ssking 于 2015-4-14 16:01 编辑Pcshare,2008年的风靡一时的一个远控,采用Rootkit技术隐藏,作者编程技术之深
我分析之简单,前所未有,直接截图,看起来很简单。没复制汇编代码
未入CALL细跟,有些API函数太过于粗糙,大家线下跟测试功能版本PCshare,我只分析作用,具体代码用于装逼!
下面上图,是我初步分析这个木马的行为
首先我把这个木马分离,穿山甲+附加数据的处理
处理完毕后Peid载入,VC的程序,直接OD载入
这个木马有检测系统,我直接StrongOD隐藏创建超级用户
这个程序的几个重要操作:
注入S
注册表的大量读写,来获取注册表的权限
采用Rootkit技术隐藏,未驱动生成,直接隐藏
在System下生成serives.exe来控制整个电脑的操作
分析代码到某个地方时,金山毒霸直接提示内存报毒,说明会将代码写入内存
连接一个ip,来自江西(具体IP屏蔽)
调用很少的CALL来实现大量操作
去掉壳子和保护的木马可以直接用OD分析出大量的信息,大家可以直接查看自带注释来分析木马
楼主好叼膜拜啊!! 这远控源码百度一下就出来了,最终版的,作者已经不更了。 让导弹飞 发表于 2015-4-12 21:51
这远控源码百度一下就出来了,最终版的,作者已经不更了。
我只是一个爱好者,分析而已,我在帖子中也说了,2008的版本。2008年风靡的,现在早就不行不行的了 感觉好高大上 好高大上的样子
页:
[1]