吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6738|回复: 5
收起左侧

[PC样本分析] 一个木马的简单分析 Mu PCshare(已删源文件)

  [复制链接]
Ssking 发表于 2015-4-12 21:34
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Ssking 于 2015-4-14 16:01 编辑

Pcshare,2008年的风靡一时的一个远控,采用Rootkit技术隐藏,作者编程技术之深
我分析之简单,前所未有,直接截图,看起来很简单。没复制汇编代码
未入CALL细跟,有些API函数太过于粗糙,大家线下跟测试功能  版本PCshare,我只分析作用,具体代码用于装逼!

下面上图,是我初步分析这个木马的行为
1.png
首先我把这个木马分离,穿山甲+附加数据的处理
处理完毕后Peid载入,VC的程序,直接OD载入
2.jpg
这个木马有检测系统,我直接StrongOD隐藏创建超级用户

3.jpg
4.jpg
5.jpg 6.jpg 7.jpg 8.jpg 9.jpg



这个程序的几个重要操作:
注入S
注册表的大量读写,来获取注册表的权限
采用Rootkit技术隐藏,未驱动生成,直接隐藏
在System下生成serives.exe来控制整个电脑的操作
分析代码到某个地方时,金山毒霸直接提示内存报毒,说明会将代码写入内存

连接一个ip,来自江西(具体IP屏蔽)
调用很少的CALL来实现大量操作

去掉壳子和保护的木马可以直接用OD分析出大量的信息,大家可以直接查看自带注释来分析木马



免费评分

参与人数 1热心值 +1 收起 理由
willJ + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

丶andy 发表于 2015-4-12 21:51
楼主好叼膜拜啊!!
让导弹飞 发表于 2015-4-12 21:51
这远控源码百度一下就出来了,最终版的,作者已经不更了。
 楼主| Ssking 发表于 2015-4-12 21:52
让导弹飞 发表于 2015-4-12 21:51
这远控源码百度一下就出来了,最终版的,作者已经不更了。

我只是一个爱好者,分析而已,我在帖子中也说了,2008的版本。2008年风靡的,现在早就不行不行的了
蚯蚓翔龙 发表于 2015-4-12 22:24
感觉好高大上
随便su 发表于 2015-4-12 22:53 来自手机
好高大上的样子
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:50

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表