申请 I D ：vcvycy【申请通过】

吾爱游客 *发表于 2016-10-10 15:34* · 发表于 2016-10-10 15:34

1、申请 I D ： vcvycy
2、个人邮箱：352871242@qq.com
3、原创技术文章
刚被坑的，直接边分析边写帖子吧~.~
0x00 下载外挂遇到恶意软件
刚刚在52辅助网上看到一个CF透视外挂，下载后居然是一个网页，跳转到地址：http://www.haloumao.com/haloumao/product/2016-10-7/291.html，描述得像模像样的，下载之，虚拟机运行——
结果如下（在个人博客放病毒也是无耻）：

无法切换程序，任务管理器也调不出来，重启电脑后不起作用照样这样。
0x01 恢复操作——恢复电脑正常打开
思路：进入安全模式，先取消病毒自动执行。
重启按F8进入安全模式，运行msconfig —— 发现msconfig.exe没运行，却又跳出了病毒程序。
换种思路，重启进入“带命令行安全模式”，运行msconfig，好了，正常了。

猜测：安全模式和带命令行安全模式好像就相差一个explorer.exe进程，我猜测通过explorer.exe中打开文件时，都会自动执行病毒文件d:\haloumao\halou.exe，故在安全模式下，虽然病毒无法开机启动，却可以通过Explorer.exe启动自身；而带命令行的安全模式默认不执行explorer，故我们可以正常打开exe。
现在先取消病毒自启动，执行以下步骤：
1、查看MSCONFIG启动选项：多了一个"d:\haloumao\halou.exe",，果断取消掉。
2、将halou.exe改名为halou.exe.bak，方便之后调试，并且避免病毒以其他方式运行。
启动电脑，一切顺利。
接下来：进入病毒文件夹做进一步分析，程序清单如下：
捕获2.JPG

0x02 恢复操作——EXE文件关联问题
现在又出现一个新的问题：打开大部分可执行文件（如cmd.exe,regedidt.exe,msconfig.exe)时，会提示：

（但可以打开任务管理器）
分析：病毒通过修改注册表来将PE文件关联执行其自身，而此时我们已经把halou.exe改名了，系统无法找到病毒exe文件，故会出现“打开方式"窗口。
具体： 在病毒文件夹有一个halou.reg注册表文件，打开它：
捕获3.JPG

可知是通过修改注册表的exe文件关联[HKEY_CLASSES_ROOT\exefile\shell\open\command]，将exe文件执行指向病毒文件。
现在我们来恢复exe文件执行关联
由于大部分程序都执行不了了，都会直接调用不存在的病毒文件"d:\haloumao\halou.exe"而出现打开方式窗口。一个思路就是将我们要执行的文件移动重命名为"d:\haloumao\halou.exe"。

但是如果直接将regedit.exe重命名过去，由于带参数("格式为：d:\haloumao\halou.exe %1 %*"）会导致无法打开注册表，所以我们先尝试打开CMD：
进入c:\windows\system32\，将cmd.exe复制出来保存为"d:\haloumao\halou.exe"，然后任意打开exe文件，这样命令行就出来了，执行regedit.exe，进入[HKEY_CLASSES_ROOT\exefile\shell\open\command]，将前缀"d:\haloumao\halou.exe"删除。

修改后：