novobo 最近的时间轴更新
novobo

novobo

V2EX 第 87537 号会员,加入于 2014-12-20 12:03:17 +08:00
今日活跃度排名 9400
novobo 最近回复了
@MossFox 平时手机只用内置的 safari 偶尔用 firefox ,手机地区切换到了台湾,早已经忘记国产浏览器拿手的安全拦截了。我还是觉得这个人没必要只限定 qq 类的浏览器。昨天用 safari 打开的时候直接跳转到了 qq 网站我还担心是不是有什么跨站攻击窃取啥的,(不太懂,见笑了,嘿嘿嘿。
另外翻了深蓝保的网站,没有任何登录注册的互动板块,好奇怎么传的文件。
@yuaotian 原来如此,搞这么复杂就是骗过 QQ 内置浏览器的安全提醒🤦‍♂️
@gcod 这个 767 kb 文件有毒就有毒吧(该程序是法宣在线的代学习软件,充值包年收费软件,未发现向系统目录及注册表乱动手脚)主要是从那个 124.117.238.230 运营商处下的 1.45 MB 的文件捆绑的其他程序到底是干什么的我很好奇。
@mokecc 下载的文件两个大小完全不一样,劫持后的文件被夹带了私货,多了 700 多 kb。请仔细阅读我的帖子。
@mytsing520 我之前没有发现它被劫持了,等我发现时候就晚了没有对数据抓包。

下载的文件两个大小完全不一样,劫持后的文件被夹带了私货,多了 700 多 kb。请仔细阅读我的帖子。
@miaomiao888 也许迟早全国都会一样……也许这里只是试点特区呢。都是瞎说,请勿当真。
@oIMOo 你看的那三个文件都没有什么问题。原下载地址的 700 多 k 的 rar 压缩包是正常文件,124.117.238.230 下载下来的文件是 1.4MB ……正常的 700 多 k 的压缩包解压后有三个文件:- yzmsb.dll ,- zjspfz.tqs ,- 法宣在线学习助手 3.7.exe 是正确压缩包的文件 xf.faxuan.net 网站也是无问题,1.45MB 的那个文件才是问题所在。

我在虚拟机里运行了,将劫持下载的 1.45MB 的文件后缀名改为 exe 可执行程序后压缩包可以正常打开,但是可以发现它先创建了一个名为“ 51xuele-fxzx3.7_s.exe ”的程序,该程序又创建了一个 8 为数字的批处理文件,以上两个文件运行后都会自我删除。
@xiaopc 无法显示详细信息,释放后的文件什么也检测出来,捆绑后的程序检测出除创建检索文件修改注册表等还有如下操作。
创建互斥体
枚举网络共享资源
创建事件对象
查找指定窗口
获取 User 基本信息
调整进程 token 权限
打开事件
可执行文件签名信息
隐藏指定窗口
可执行文件 MD5
打开互斥体
@james98jea 曾经 14 年在吾爱某次活动放开注册的时候注册了一个账号,再也没登陆过,刚去看了,发现账号没了,没法发帖……注册要钱,好心痛……
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2782 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 16ms · UTC 13:48 · PVG 21:48 · LAX 05:48 · JFK 08:48
Developed with CodeLauncher
♥ Do have faith in what you're doing.