trojan.psw.jianghu.am分析報告
該病毒加了upx的殼,
脫殼後,可以確定病毒為vb編寫程式,
程式中未直接使用作業系統提供的api函式,也沒有載入病毒常用的幾個動態連線庫。而是載入了乙個名為msvbm60.dll,動態連線庫(作業系統提供),該動態連線庫對系統的api函式進行了封裝,從而實現了通過呼叫msvbm60.dll提供的函式達到與呼叫api函式相同的效果。
在對msvbm60.dll輸入函式的呼叫上,病毒通過重新構建乙個資料表來代替輸入表的手法,來達到隱蔽呼叫的目的。把病毒中要呼叫msvbm60.dll中的函式的名字新增到檔案尾部(通過殼釋放的新的段newiid),在upx0段的開頭建立乙個陣列,陣列中的值分別指向newiid段中的函式,病毒呼叫相關函式時,通過call指令後邊記錄的upx0段中陣列元素的位址,找到相關的函式。
病毒的主函式是 thunrtmain,被封裝到msvbm60.dll動態連線庫中。
該病毒體的作用就是從自身釋放出svch0st.exe檔案到c:/program files/internet explorer資料夾中,並將該檔案通過修改登錄檔加入啟動項。執行該檔案,結束病毒體程序
下面對svch0st.exe檔案進行分析。
檔案沒有加殼,依然使用vb編寫。
盜竊的物件程式。
clientshell.bin 天驕遊戲檔案
game.exe 比較多,暗黑,劍俠
qq.exe
jxonline.exe 劍俠情緣
fsonline.exe 封神遊戲
tj2client.exe天驕2遊戲
呼叫api的方式,還是第一次見
用msvbvm60.dll functioncall獲得要呼叫函式的入口位址,放在了返回值eax上,直接用jmp指令跳轉到所要動態載入的函式了,在第一次使用是呼叫了regcreatekey函式
之後的獲得當前執行的程序的process32first和process32next函式,也使用相同手法。
獲得當先的程序後,去盜竊物件的程序名稱進行比較,(這裡程式中有乙個問題,只對process32next函式獲得的最後乙個函式進行相應的比較)
下了乙個qq程式,發現並沒有偷到密碼。
傳送部分
根據字串推測以乙個使用者的身份登入到**http://hwwy.www41.cnidc.cn/conn/link.asp?name=......,並傳送資訊。
未能找到相關傳送函式。
http請求報400錯誤的原因分析
http 400 錯誤 請求無效 bad request 在ajax請求後台資料時有時會報 http 400 錯誤 請求無效 bad request 出現這個請求無效報錯說明請求沒有進入到後台服務裡 原因 1 前端提交資料的欄位名稱或者是字段型別和後台的實體類不一致 或 前端提交的引數跟後台需要的引...
問題分析報告 讀取ORC檔案報seek錯誤
問題分析報告 讀取orc檔案報seek錯誤 1.分析job效能變慢,主要體現為container localized執行變慢 通過分析日誌發現,container 執行變慢主要卡在resourcelocalizationservice鎖的競爭上 下圖為隨機挑選出來的乙個container執行慢的時候...
Google發布SSLv3漏洞簡要分析報告
摘要 今天上午,google發布了乙份關於sslv3漏洞的簡要分析報告。根據google的說法,該漏洞貫穿於所有的sslv3版本中,利用該漏洞,黑客可以通過中間人攻擊等類似的方式 只要劫持到的資料加密兩端均使用ssl3.0 便可以成功獲取到傳輸資料 例如cookies 關鍵字 google sslv...