网络游戏 代码 墨香完整全部原代码及SDK |
|
fafafa123
一般會員 發表:1 回覆:0 積分:0 註冊:2006-09-20 發送簡訊給我 |
|
johnlp
一般會員 發表:2 回覆:13 積分:8 註冊:2004-10-31 發送簡訊給我 |
|
johnlp
一般會員 發表:2 回覆:13 積分:8 註冊:2004-10-31 發送簡訊給我 |
剛研究了一下
這隻木馬用到的技術分別是hook CreateRemoteProcess ... 這隻木馬有三個檔案,g_server2006.exe , g_server2006.dll , g_server2006key.dll 這個程式會把本自己隱藏放到C:\windows
並且掛hook到檔案總管,所以用檔案總管看不到這三個檔案
必須用cmd執行dir/a 才看的到
而且他也用隱藏行程(hook?)的技術,用工作管理員或一般的process list(如process xp)看不到這個行程
但用IceSword看的到
還有他也有用CreateRemoteProcess嵌入其他程式,類似病毒的作法 另外,他會嵌入iexplore.exe並且連線到222.245.216.166:8000以及61.155.107.8:80
查過兩個ip應該都是來自澳洲(au) 以上,給大家做參考 如果想玩玩看的人,請回覆,我在想辦法上傳檔案 |
johnlp
一般會員 發表:2 回覆:13 積分:8 註冊:2004-10-31 發送簡訊給我 |
|
johnlp
一般會員 發表:2 回覆:13 積分:8 註冊:2004-10-31 發送簡訊給我 |
ㄟ...有個問題想提問
在這個木馬執行的時候,用TcpView這個程式可以看到木馬對外的連線 但是由於行程被隱藏,所以在程序名稱的欄位顯示<不存在的>:1640 1640是pid,而在processxp中同樣看不到行程在執行,但用 Find Handle or Dll功能搜尋"1640"字串,卻可以找到許多其他執行中的 程式已被嵌入木馬的module其中程序名稱也同樣顯示 non-existent process ,也就是說一樣無法偵測到程序名稱。而用google查詢"non-existent process", 得到的線索是使用rootkit才可以得到這種效果。 那麼,我的疑問是,rootkit究竟是利用已知的系統api來突破windows的權限 還是用未知的api配合未知的windows漏洞達到這種效果的呢? 用google查到這方面的技術細節似乎不多,請問有人知道嗎? |
aftcast
站務副站長 發表:81 回覆:1485 積分:1763 註冊:2002-11-21 發送簡訊給我 |
rootkit 是使用kernel mode hook 的方式。它算是driver級 ap,故可以透過native api等呼叫使用nt kernel mode service... 目前我也了解不算很深入,也是研究中!
------
蕭沖 --All ideas are worthless unless implemented-- C++ Builder Delphi Taiwan G+ 社群 http://bit.ly/cbtaiwan |
G01
高階會員 發表:249 回覆:379 積分:215 註冊:2002-05-21 發送簡訊給我 |
|
johnlp
一般會員 發表:2 回覆:13 積分:8 註冊:2004-10-31 發送簡訊給我 |
|
本站聲明 |
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。 2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。 3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇! |