» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 未知双进程壳MSN蠕虫，微点送你上西天   作者: 标题: 未知双进程壳MSN蠕虫，微点送你上西天 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  未知双进程壳MSN蠕虫，微点送你上西天 一行白鹭上青天, 全部放到锅里煎. 平不孤独 未知双进程壳： OD对CreateProcess下断，A/W看需要，F9运行， 断到CreateProcess后Alt+F9返回到用户领空 搜索API调用，WriteProcessMemory下断， 这Msn-Worm就开始吐了，貌似吐了五次吧，你吐多少我就加多少，这样很OK，这buffer写的还算到位，一步全部抠出，用C32Asm写入保存这Worm就没皮啦。。。。。记得有的双进程壳地址是乱序写入的，那么就多新建几个文件最后统一嫁接起来，我想这个应该对脱所有双进程壳生效吧。。。。。OEP不用修，导入表不用修，看看居然文件对齐都不用修，汗！。。。。 老思路往出发 00403948                  . 56                    push esi 00403949                  . 56                    push esi 0040394A                  . 56                    push esi 0040394B                  . 6A 56                 push 56                             ; /Char = 56 ('V') 0040394D                  . FF15 64614000         call dword ptr ds:[<&USER32.VkKeySc>; \VkKeyScanA IRC 地址懒得往出跟了，睡觉！。。。无论是脱得还是没脱的微点通通送你上西天。。。     ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-12-31 10:01 zqrsc 版主 反病毒区版主 积分 1133 发帖 1118 注册 2005-11-22 来自 .net #2   不错不错~~加分~ ※ ※ ※ 本文纯属【zqrsc】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~ 2008-12-31 10:05 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #3   ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-1-4 17:51 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号