novobo 最近的时间轴更新 novobo 最近的时间轴更新 |
novoboV2EX 第 87537 号会员,加入于 2014-12-20 12:03:17 +08:00 |
| 下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶 程序员 • novobo • 2018-08-02 17:29:54 PM • 最后回复来自 novobo | 23 |
novobo 最近回复了
2018-08-02 17:29:54 +08:00 回复了 novobo 创建的主题 › 程序员 › 下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶 |
@gcod 这个 767 kb 文件有毒就有毒吧(该程序是法宣在线的代学习软件,充值包年收费软件,未发现向系统目录及注册表乱动手脚)主要是从那个 124.117.238.230 运营商处下的 1.45 MB 的文件捆绑的其他程序到底是干什么的我很好奇。
2018-08-02 17:24:44 +08:00 回复了 novobo 创建的主题 › 程序员 › 下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶 |
@mokecc 下载的文件两个大小完全不一样,劫持后的文件被夹带了私货,多了 700 多 kb。请仔细阅读我的帖子。
2018-08-02 17:23:58 +08:00 回复了 novobo 创建的主题 › 程序员 › 下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶 |
2018-08-02 17:19:35 +08:00 回复了 novobo 创建的主题 › 程序员 › 下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶 |
@miaomiao888 也许迟早全国都会一样……也许这里只是试点特区呢。都是瞎说,请勿当真。
2018-08-02 17:08:37 +08:00 回复了 novobo 创建的主题 › 程序员 › 下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶 |
@oIMOo 你看的那三个文件都没有什么问题。原下载地址的 700 多 k 的 rar 压缩包是正常文件,124.117.238.230 下载下来的文件是 1.4MB ……正常的 700 多 k 的压缩包解压后有三个文件:- yzmsb.dll ,- zjspfz.tqs ,- 法宣在线学习助手 3.7.exe 是正确压缩包的文件 xf.faxuan.net 网站也是无问题,1.45MB 的那个文件才是问题所在。
我在虚拟机里运行了,将劫持下载的 1.45MB 的文件后缀名改为 exe 可执行程序后压缩包可以正常打开,但是可以发现它先创建了一个名为“ 51xuele-fxzx3.7_s.exe ”的程序,该程序又创建了一个 8 为数字的批处理文件,以上两个文件运行后都会自我删除。
我在虚拟机里运行了,将劫持下载的 1.45MB 的文件后缀名改为 exe 可执行程序后压缩包可以正常打开,但是可以发现它先创建了一个名为“ 51xuele-fxzx3.7_s.exe ”的程序,该程序又创建了一个 8 为数字的批处理文件,以上两个文件运行后都会自我删除。
2018-08-01 17:47:05 +08:00 回复了 novobo 创建的主题 › 程序员 › 下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶 |
@xiaopc 无法显示详细信息,释放后的文件什么也检测出来,捆绑后的程序检测出除创建检索文件修改注册表等还有如下操作。
创建互斥体
枚举网络共享资源
创建事件对象
查找指定窗口
获取 User 基本信息
调整进程 token 权限
打开事件
可执行文件签名信息
隐藏指定窗口
可执行文件 MD5
打开互斥体
创建互斥体
枚举网络共享资源
创建事件对象
查找指定窗口
获取 User 基本信息
调整进程 token 权限
打开事件
可执行文件签名信息
隐藏指定窗口
可执行文件 MD5
打开互斥体
2018-08-01 17:32:08 +08:00 回复了 novobo 创建的主题 › 程序员 › 下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶 |
@james98jea 曾经 14 年在吾爱某次活动放开注册的时候注册了一个账号,再也没登陆过,刚去看了,发现账号没了,没法发帖……注册要钱,好心痛……
Select Language