123   2  /  3  页   跳转

敲猪示众

收藏
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-12 17:27 | 短消息 资料
字号: 11楼

引用:
【loveperday的贴子】他怎么动IS了?最小化?是通过模拟键盘实现么?
昨天遇到了很早的烧香,才知道他也是防IS的,不断的刷CMD命令行.
………………

不是最小化IS

利用挂勾技术,隔几毫秒刷新次,是关闭(不返结果和提示),事实上它并关不掉.


不过却达到目的了.
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-06-12 17:31 | 短消息 资料
字号: 12楼

新的也是PJF开发的么?我下的个新的貌似不是。。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-12 17:36 | 只看楼主 短消息 资料
字号: 13楼

引用:
【loveperday的贴子】新的也是PJF开发的么?我下的个新的貌似不是。。。

………………

不是PJF的,是网友改编的。
PJF这样的老大,对病毒作者那些雕虫小技不屑一顾。
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-12 17:37 | 短消息 资料
字号: 14楼

引用:
【loveperday的贴子】新的也是PJF开发的么?我下的个新的貌似不是。。。

………………


花指令改编的``

附上关SREng和IS的反汇编:

CODE:004084C4 ; char s_Sreng[]
CODE:004084C4 s_Sreng          db '关于 SREng',0        ; DATA XREF: sub_408320+B2 o
CODE:004084CF                  align 10h
CODE:004084D0                  db 0FFh,0FFh,0FFh,0FFh,0Ah,0
CODE:004084D6                  align 4
CODE:004084D8 s_Afx400000      db 'Afx:400000',0        ; DATA XREF: sub_408320+F9 o
CODE:004084E3                  align 4
CODE:004084E4 ; char s_Msctls_status[]
CODE:004084E4 s_Msctls_status db 'msctls_statusbar32',0 ; DATA XREF: sub_408320+112 o
CODE:004084F7                  align 4
CODE:004084F8 ; char s_GPjfUstc[]
CODE:004084F8 s_GPjfUstc        db '作者:pjf(ustc)',0    ; DATA XREF: sub_408320+11F o
CODE:00408508 ; char s_Afx4000001000[]
CODE:00408508 s_Afx4000001000 db 'Afx:400000:1000',0    ; DATA XREF: sub_408320+124 o
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-06-12 17:39 | 短消息 资料
字号: 15楼

据说是个中科大的老师??!!
强的,恩恩。不过我下的那个改编版图标全为空,看得郁闷。。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-12 17:42 | 只看楼主 短消息 资料
字号: 16楼

引用:
【loveperday的贴子】据说是个中科大的老师??!!
强的,恩恩。不过我下的那个改编版图标全为空,看得郁闷。。。
………………

我找的那个————

附件附件:

下载次数:288
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-12 17:42:23
描述:
预览信息:EXIF信息
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-06-12 17:45 | 短消息 资料
字号: 17楼

引用:
【baohe的贴子】
我找的那个————
………………


嗯,一样``

MD5: 20641485F5ED896D2135C51B1DF2852B

583,680k``
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-06-12 17:50 | 短消息 资料
字号: 18楼

对,一样一样。鼠标有时候会消失,嘿,不过估计他也懒的改了。。
有种预感,冰刃会成为众矢之的。。
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-06-12 17:50 | 短消息 资料
字号: 19楼

对,一样一样。鼠标有时候会消失,嘿,不过估计他也懒的改了。。
有种预感,冰刃会成为众矢之的。。
gototop
 
逍遥浪子45
头像
自信弱冠狮
  • 帖子:329
  • 注册: 2006-09-25
  • 来自:
发表于: 2007-06-12 18:38 | 短消息 资料
字号: 20楼

猫叔啊,快点写个解决办法吧!~我那天搞到的不是病毒样本,那家伙现在和你说的一样,把冰刃禁止使用,改名字也是最小化..SRENG根本无法使用,打开就被关闭了,任何软件都是如此..WARAR倒还可以用...注册表被禁用,我用代码搞好,进去发现那劫持删除掉依然是没用,病毒进程都不知道是哪个!!!根本无法显示隐藏文件,显示了又被设置为不显示了....根本没办法处理那,我的实战经验少,希望猫叔能帮忙远程下喽,那MM的QQ:601791287,你要样本自己去弄吧,我实在没办法了,弄好后能帮忙写个解决方法出来看看最好了!~谢谢了!~


那个MM实在是强,居然DOS下直接搞定了,弄的我汗死了.....
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT