好友
阅读权限40
听众
最后登录1970-1-1
|
silly
发表于 2010-1-16 16:46
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
首先运行安装程序,会提示操作系统为服务器版本无法安装。
请不要关闭这个消息框,从X:\WINDOWS\Temp目录COPY出来KAV11.EXE,这个为安装程序
004037C9 53 push ebx
004037CA E8 3CDCFFFF call 0040140B ;问题出在这里,没仔细跟了,跟了几圈很厌烦了T_T
004037CF 85C0 test eax, eax
004037D1 74 08 je short 004037DB
004037D3 6A 02 push 2
004037D5 58 pop eax
004037D6 E9 B4000000 jmp 0040388F
悲剧了,现在看汇编不到2分钟就没心思看了[s:352]
发现问题后,我很简单的将JE修改为JMP,发现安装的时候大概因为无法校验版本,而让所有安装文件跳过.郁闷好许时间.
实在无心情看了,所以就做了个小测试,发现静默安装可以绕开检测直接安装.静默安装的方法为修改代码如下:
004037C9 6A 01 push 1
004037CB E8 3BDCFFFF call 0040140B
004037D0 90 nop
004037D1 90 nop
004037D2 90 nop
004037D3 90 nop
004037D4 90 nop
004037D5 90 nop
004037D6 90 nop
004037D7 90 nop
004037D8 90 nop
004037D9 90 nop
004037DA 90 nop
十六进制修改为:
53E83CDCFFFF85C074086A0258E9B4000000
6A01E83BDCFFFF9090909090909090909090
经过修改后安装,1个多小时,未发现不良现象.
影响所有服务器WINDOWS系统:
2000 服务器版本,2000高级服务器版本,
2003标准版,2003企业版,2003数据中心版(未测试,估计)
2008相关版本(未测试估计)
目前本身并不支持64位版本,所以,64位如2008R2就放弃吧. |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
