資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡(luò)安全教程|m.hailashopping.com|我的開發(fā)技術(shù)隨記

標(biāo)題: Synaptics Pointing蠕蟲木馬防中招和提取無木馬文件分析 [打印本頁]
作者: 零基礎(chǔ)入門破解    時間: 2020-2-19 12:54
標(biāo)題: Synaptics Pointing蠕蟲木馬防中招和提取無木馬文件分析
Synaptics Pointing蠕蟲木馬防中招和提取無木馬文件分析
《Synaptics Pointing Device Driver》

Synaptics是一個蠕蟲木馬,具有感染性。木馬運行后顯示一個隱藏工具,會復(fù)制自身至C:\ProgramData\Synaptics目錄,在設(shè)置注冊表自啟動。之后創(chuàng)建兩個線程。

相信很多小伙伴都中招了,我嘗試過用QQ管家和QQ管家急救箱,360急救箱,全盤或者強(qiáng)力模式都對已經(jīng)感染的文件不能查殺和修復(fù),結(jié)果都是無果。

(, 下載次數(shù): 121)

(, 下載次數(shù): 119)


下面我教下大家如何對已經(jīng)被捆綁了Synaptics蠕蟲木馬的軟件去除和提取 并如何查自己哪些常用軟件是中了此木馬。

查哪些軟件中了此木馬比較簡單,右鍵對軟件屬性,即可看到描述是Synaptics Pointing Device Driver,詳細(xì)信息也是此描述,基本就是被捆綁了這個木馬。

(, 下載次數(shù): 120) (, 下載次數(shù): 131)


拖進(jìn)OD看看 我這個是一個易語言編譯的無殼程序,懂點OD的應(yīng)該也發(fā)現(xiàn),易語言的OEP并不是這樣,被捆綁了木馬的OEP變成了這樣,并下面有Synaptics的字符串,

已經(jīng)確實這個軟件已經(jīng)被感染了,下面演示,怎么不運行,把沒中木馬的文件提取出來,方法比較簡單,把中了這個蠕蟲木馬軟件載入到OD里,


用論壇發(fā)的PE提取工具提取一下即可。如果之前電腦已經(jīng)運行過這個蠕蟲木馬的程序,打開任務(wù)管理器,會有一個進(jìn)程《Synaptics.exe》先結(jié)束掉此進(jìn)程,


然后刪除C:\ProgramData\Synaptics目錄即可,目錄是隱藏的,請打開系統(tǒng)的顯示文件隱藏功能,然后你打開沒有被捆綁Synaptics木馬的軟件,

就不會被感染了,如果不清除,您的電腦里的軟件只要打開一次都會被感染。這里我打開一下被感染的,然后去運行以下沒有被感染的看看,沒有被感染,

另外其實被感染的軟件打開后他會釋放原來的沒被感染的文件,._cache_XXXX開頭的釋放原來的沒被感染的文件,就是只是被隱藏了起來,

這里剩下的就自己去研究下吧,感謝觀看。




作者: aaulul    時間: 2020-2-20 00:15
謝謝分享
作者: 鄭曉龍    時間: 2020-3-1 16:38
6666666666666666666666666666666
作者: helloltt    時間: 2020-4-18 21:22
6666666666666666666666666666666
作者: 1393721977    時間: 2020-4-29 18:29
看看
作者: toum120    時間: 2020-6-1 01:53
gxfx
作者: qwertyuiop1822    時間: 2020-8-12 02:57
祝資源共享吧越來越火!
作者: chuijing666    時間: 2022-9-4 08:22
木馬防中招和提取無木馬文件分析 [修



歡迎光臨 資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡(luò)安全教程|m.hailashopping.com|我的開發(fā)技術(shù)隨記 (http://m.hailashopping.com/) Powered by Discuz! X3.4