- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
18网站挂马分析(下篇)
拿出PEiD,看这个可执行文件的加壳情况,得出的结论是它是用Delphi写的。这个结论可
信么?高手可能会使用修改OEP特征的方法来“A”一下我们的PEiD,使其判断失效。
先不管这个,打开专门为破解Delphi程序而准备的利器:DeDe。分析成功,但却没有得到
什么有用的信息。不过它至少证明它真的是用Delphi编写的。但这里我们关注的焦点不是用什
么语言和工具写的,而是看它有没有被加壳。
用W32DAsm反汇编这个exe文件,然后下意识地看一下“串式参考”:
gototry
#32770
(T@
,T@
.1
:\AutoRun.inf
:try
[AutoRun]
open=
\programfiles\internetexplorer\IEXPLORE.EXE
0813
3烂怱VQ嬝媠咑u3离j
60000
advapi32.dll
Alletdel.bat
AutoRun.inf
Button
ChangeServiceConfig2A
ChangeServiceConfig2W
cmd/cdate
cmd/cdate1981-01-12
del
del%0
drivers/klif.sys
Error
FPUMaskValue
/kl/0.exe
/kl/1.exe
/kl/10.exe
/kl/11.exe
/kl/12.exe
/kl/13.exe
/kl/14.exe
/kl/15.exe
/kl/16.exe
/kl/17.exe
/kl/18.exe
/kl/19.exe
/kl/2.exe
/kl/3.exe
/kl/4.exe
/kl/5.exe
/kl/6.exe
/kl/7.exe
/kl/8.exe
/kl/9.exe
IE执行保护
IEXPLORE.EXE
IE执行保护
ifexist
Kernel32.dll
NoDriveTypeAutoRun
ntdll.dll
QueryServiceConfig2A
QueryServiceConfig2W
S@
serdst.exe
shell\Auto\command=
shellexecute=
SOFTWARE\Borland\Delphi\RTL
Software\Microsoft\Windows\CurrentVersion\Poli
Telephotsgoogle
U嬱兡餝VW3繳h訹@
U嬱筧
U嬱伳SVW?
ZwUnmapViewOfSection
刌@
銼@
婦$鰼
媩$(?
燬@
擮@
确定
媆$?搡?婼婥t?燖
瑞星卡卡上网安全助手-IE防漏墙
为即插即用设备提供支持
圷@
允许
允许执行
从上面我们可以做如下推断:
1.这个程序可能生成一个叫Alletdel.bat的批处理文件,这个文件中有一个标签叫try,
批处理文件会不断的执行这个标签下一行的命令,命令内容可能是判断文件存在性,更改系统日
期,删除某些文件(证据:gototry,:try,Alletdel.bat,cmd/cdate,cmd/c
date1981-01-12,del,del%0,ifexist)
2.这个程序可能在磁盘根目录下生成自动运行的文件,以求用户不小心时启动程序(证据:
:\AutoRun.inf,[AutoRun]open=,AutoRun.inf,shell\Auto\command=)
3.这个程序要对IE、注册表、服务和系统文件动点手脚(证据:advapi32.dll,
drivers/klif.sys,\programfiles\internetexplorer\IEXPLORE.EXE,IE执行保护,
IEXPLORE.EXE,Software\Microsoft\Windows\CurrentVersion\Poli),Kernel32.dll,
SOFTWARE\Borland\Delphi\RTL,ChangeServiceConfig2A,ChangeServiceConfig2W,
QueryServiceConfig2A,QueryServiceConfig2W)
4.这个程序有一定的防系统保护软件的能力(证据:瑞星卡卡上网安全助手-IE防漏墙,
允许,允许
您可能关注的文档
- 网络安全攻防实践 课程2-网络攻防实验环境构建.ppt
- 网络安全攻防实践 课程3-网络信息收集技术(上).ppt
- 网络安全攻防实践 课程3-网络信息收集技术(下).ppt
- 网络安全攻防实践 课程4-网络嗅探与协议分析.ppt
- 网络安全攻防实践 课程5-TCP_IP网络协议攻击.ppt
- 网络安全攻防实践 课程6-网络安全防护技术.ppt
- 网络安全攻防实践 课程7-Windows系统攻防技术.ppt
- 网络安全攻防实践 课程8-Linux系统攻防技术.ppt
- 网络安全攻防实践 课程9-恶意代码基础知识与分析方法.ppt
- 网络安全攻防实践 课程10-缓冲区溢出和Shellcode.ppt
- 2024年江西省寻乌县九上数学开学复习检测模拟试题【含答案】.doc
- 2024年江西省省宜春市袁州区数学九上开学学业水平测试模拟试题【含答案】.doc
- 《GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语》.pdf
- 中国国家标准 GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语.pdf
- GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- 《GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构》.pdf
- 中国国家标准 GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 中国国家标准 GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 《GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南》.pdf
最近下载
- 消防控制室工作方案与消防流程.doc
- 幼儿园课件:《食品安全我懂得》.pptx
- 金融投资证券 - 金融投资证券 - 期权、期货和其他衍生品第十版答案手册Options,Futures,andOtherDerivatives-10th-JohnHull&Solutions.pdf
- ×××工程项目建设监理规划(房建).doc
- 脱硫脱硝设备现场安装方案.pdf
- 增强驾驭风险能力_提高科学执政本领(ppt46页).ppt
- 体操头手倒立教学教案.doc VIP
- 242个国家中英文名称对照.xls VIP
- 毕业设计(论文)--某商住楼工程量清单与招标控制价编制.doc
- 毕业设计(论文)--学生公寓楼工程量清单和招标控制价编制.doc
文档评论(0)