吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8149|回复: 15
收起左侧

[PC样本分析] 记一次捆绑后门的分析

[复制链接]
许泽楷 发表于 2016-9-19 10:47
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 许泽楷 于 2016-9-19 11:24 编辑
没有啥技术含量
分析的时候用的电脑是公司的
裸奔 两个玩意直接让后门现出原形
适于我这种小白学习 大神请不要调戏我
附上这两个样本
样本地址
http://1000eb.com/1kve7

今天刷论坛 看到有人发帖
我的内心是开心的
点进去一看 图片直接去调用的小七网络那边的
意思是你在别的论坛也有发过咯

转念一想 不太对 一个YY查IP工具 然后之后又发了一个宽带提速
特地去下载了一个沙盘 运行后发现释放了一个Server.exe
尼玛太明显了把 于是乎我联系了小七那边的管理
(因为我电脑没有环境 想让小七帮我分析下)
结果他直接封号删帖了 我勒个擦 你倒是分析一下啊

好吧 我就down了个IP雷达下来
直接分析他的宽带提速
发现程序是E语言写的
迅雷快鸟的破解补丁
PEID查壳 尼玛delphi? 说好的E语言
(目测是用捆绑器捆绑的结果)

直接沙盘运行 然后默默关注着雷达
释放了一个sky.exe



然后看雷达结果


哦吼 这个是啥dkning118.f3322.net
于是乎我默默的打开了
3322的官网 联系了客服





免费评分

参与人数 2热心值 +2 收起 理由
wnagzihxain + 1 不错
H夜 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2016-9-19 11:19
@许泽楷

三、原创病毒分析贴建议将样本进行分享,方便后人进行学习,但分享的时候一定要在帖子和附件中注明附件为病毒、木马或者可疑文件,附件样本压缩包上传时必须使用压缩密码保护,压缩密码:52pojie,防止下载样本的时候被杀软拦截,可能导致整个论坛域名被杀软误报,也可以将样本压缩加密后上传网盘,然后把网盘地址贴到帖子中,推荐使用以下网盘:
       http://pan.baidu.com
       http://yunpan.360.cn
       http://www.weiyun.com/disk/index.html
       http://1000eb.com
 楼主| 许泽楷 发表于 2016-9-19 11:22
Hmily 发表于 2016-9-19 11:19
@许泽楷

三、原创病毒分析贴建议将样本进行分享,方便后人进行学习,但分享的时候一定要在帖子和附件中 ...

抱歉哈 我重新编辑下
头像被屏蔽
-Zing- 发表于 2016-9-19 10:56
头像被屏蔽
-Zing- 发表于 2016-9-19 10:58
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
-Zing- 发表于 2016-9-19 10:59
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| 许泽楷 发表于 2016-9-19 11:01
-Zing- 发表于 2016-9-19 10:58
你上一张图打马赛克。下一张图没打马赛克。。。。。。

谢谢哈 其实也没啥IP
一台服务器是要到期了的
头像被屏蔽
-Zing- 发表于 2016-9-19 11:05
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| 许泽楷 发表于 2016-9-19 11:07

学Dz维护 运营的
hydswcxx 发表于 2016-9-19 11:43
这个要多加分析分析////
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:28

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表