一个无提示关闭36Xsafe和360sd的demo
本帖最后由 notas 于 2011-8-12 13:56 编辑网上看到这个demo ,第一时间发出来给大家。
大体看了下是模拟点击, 作者说利用了未hook且不常用的函数。
作者不厚道,demo要修改主页。
没加壳,vb写的,,呵呵,水平有限,逆向基本是个白痴。
8.1236x safe联网状态下测试有效。
sd电脑上没装,未测。
给我奖点阅读权限吧。
ESET报毒(未查明的NewHeur_PE) 把EXE拖进记事本,没有感觉到什么特别之处。
权限的获得可以参考此处:http://www.vbasm.com/thread-4478-1-1.html 关于360的帖子果然是格外引人关注,发帖不到7个小时,就有5次下载了。。。
估计不乏360的论坛探子。。。 360 探子很多啊 一天时间就被杀郁闷............. 那是360的md5查杀,拖进c32改几个字节就过了。 本帖最后由 ywledoc 于 2011-8-13 12:17 编辑
Tesla.Angela 发表于 2011-8-12 17:32 static/image/common/back.gif
把EXE拖进记事本,没有感觉到什么特别之处。
权限的获得可以参考此处:http://www.vbasm.com/thread-4478- ...
拖记事本-_-。。那货,看不到太多东西。看函数调用流程,看loadlibrary的东西。那些个更神奇。。非特指此样本。 ywledoc 发表于 2011-8-13 12:16 static/image/common/back.gif
拖记事本-_-。。那货,看不到太多东西。看函数调用流程,看loadlibrary的东西。那些个更神奇。。非特指 ...
当时没有条件,随便说的。。。
分析当然要靠虚拟机+OD+IDA。。。 安装了一个全局钩子,这个钩子是WH_JOURNALPLAYBACK
利用这个钩子回放鼠标移动点击消息
应该先利用模拟点击360托盘退出菜单
弹出那个关闭对话框
定位确定按纽
这个钩子回放的应该是移动鼠标点对话框确定按纽的消息队列吧?
WH_JOURNALPLAYBACK 的话确实用得比较少,冷门啊,哈哈.:lol chenjifa 发表于 2011-8-20 20:11 static/image/common/back.gif
安装了一个全局钩子,这个钩子是WH_JOURNALPLAYBACK
利用这个钩子回放鼠标移动点击消息
应该先利用模拟 ...
如果你说的是真相的话,感觉太不给力了,又是模拟点击!!! 很多外挂是用这个模拟鼠标的,早就发现它可以干360了,不过这下好了,公开后肯定也不能用了 9908006 发表于 2011-8-22 22:19 static/image/common/back.gif
很多外挂是用这个模拟鼠标的,早就发现它可以干360了,不过这下好了,公开后肯定也不能用了
个人感觉模拟点击始终是上不得台面的技巧。。。 但是这个确实非常有效,适用范围广,而且不容易封(封了的话很多外挂作者没饭吃了) 9908006 发表于 2011-8-23 21:21 static/image/common/back.gif
但是这个确实非常有效,适用范围广,而且不容易封(封了的话很多外挂作者没饭吃了)
貌似 三百六 根本没有考虑普通程序作者的饭碗,更别说考虑什么外挂作者的饭碗了。 顶,看看:loveliness:
页:
[1]