Artificial Intelligence / Reverse Engineering / Internet of Things / Full Stack Developer
API Monitor is a free software that lets you monitor and control API calls made by applications and services. Its a powerful tool for seeing how applications and services work or for tracking down problems that you have in your own applications.
Home Page:http://www.rohitab.com/apimonitor
Download Link:http://dl.dbank.com/c0e3v1xi4q
今天从一个网站上看到这么个东西,于是自己就“偷”以一份过来,索然功能不是很强大,但是网址还是收集的比较全的。本来是想添加一个导航链接的,但是折腾了半天发现这个主题和以前用的主题不是十分一样, 没有找到从哪里修改,如果有人知道的话还望不吝赐教。页面效果如下图所示:
猛击此处访问该页面,如果有什么问题可以在此处跟贴说明 
。
上面的图片是中毒之后的效果,关键部位已经隐藏鸟。不过要是想看高清图片的话可以猛击此处下载病毒样本测试(虚拟机下运行哦,出了问题别找我。hoho )。
金山安全中心截获的“逆名”木马,感染txt或jpg为后缀的文件,打开文档和图片也会中毒,金山卫士完美清除。今天开机的时候看到这么一个东东。刚开始没注意以为是什么高深的东东,后来一看,咦!咋这么眼熟呢~猛击那个窗口上的“了解详情”(这个链接可以点的哦!),发现内容竟然和偶在9月份发布的那篇文章分析的东西是差不多的 
。唉,一看金山的安全专家就知道是不看《非安全》滴。要不早就应该知道啦,猛击此处可以查看那期杂志的目录。
今天貌似是11.4号,搜索了一下那个东西。貌似最早是金山10-29号发布滴。比偶慢,嘻嘻。
ps:顺便扯下蛋,卡巴斯基免费一年鸟,猛击此处领取激活码(领取了要在一个星期之内激活哦,要不就无效啦~ 8) )。
Win32AutoRun.Agent.NZ 蠕虫感染文件的简单分析和文件修复 (续)
—Tmp81.exe文件的相关分析
今天看到杂志上编辑关于《Win32AutoRun.Agent.NZ 蠕虫感染文件的简单分析和文件修复》一文的评论。感觉那么写确实是肤浅了一些,关键的地方没有进行分析。当时写那篇文章的目的就是文件的修复,所以没有对释放的文件进行进一步的分析。现在我们来分析病毒的全部幕后操作。
简单说下temp81文件的获取,用OD载入上篇文章中的病毒样本“ctc已感染.exe”,并且配置好相关的测试环境。运行FileMon排除掉系统进程以便减少数据量(主要监视“ctc已感染.exe”);同时运行Wireshark,选择相关网络适配器后开始捕获数据。在004D3132 FFD0 call eax 这一行下F2断点,F9运行程序,程序中断后定位到当前用户的temp文件夹下就可以看到释放的程序了,如图01。继续F9运行程序,程序完全运行后注意观察文件监视器(FileMon),发现tmp81.exe请求创建了以下的程序:6to4.dll(如02),lpk.dll(此文件请求失败,最终调用system32下的同名文件,如03),TempDel.Bat(图04)。虽然程序显示创建了TempDel.Bat但是由于最后释放的批处理文件功能是删除自身以及释放的文件,所以程序在运行后是找不到这个文件以及释放的tmp81.exe的。TempDel.Bat的获取在可以OD动态调试tmp81.exe的时候运行tmp81.exe就可以得到批处理文件的内容了,如图05,我们之所以能获取这个批处理文件是由于tmp81.exe正在执行中,所以会删除失败,通过批处理文件的内容可以看到如果删除失败,批处理会不断的尝试再次删除释放的文件直到删除成功,这就是我们为什么可以得到删除自身的批出来文件的原理了。
现在很多的软件都喜欢修改ie的主页,虽然偶不用ie,但是偶尔登录什么网银之类的还是要用到那个万恶的ie。国内的所谓的安全措施就是给ie安装个控件,然后进行所谓的安全操作。而至于修改ie的主页主要目的,是为了流量(网赚)或者是百毒的软件合作推广。于是有的所谓的共享软件就会强行修改ie主页了,比如AntiARP合作版,新版本的赛博QQ,都会强行修改ie主页并且和小强一样杀都杀不死 。
昨天添加了个Flash MP3播放器的插件,今天打开网页的时候却发现时常蹦出一个认证窗口就是上面的东西。刚开始以为是插件的问题,结果吧插件文件都下载下来看了下没有那个链接。后来才发现是播放器播放到一条曲目时才会出现登陆窗口。但是自己添加歌曲时记得很清楚都是.mp3格式的。不可能会出现弹窗啊。后台打开设置页面访问那个mp3文件竟然能重定向,操了。把那条曲目删除问题就解决了。其实弹这个窗口完全不必要担心,大多是网站上的背景音乐文件问题,并非本机问题。如果访问其他的网站也有弹窗那就是自己的机器问题了。不同问题不同对待。呵呵。
