资源共享吧|易语言论坛|逆向破解教程|辅助开发教程|网络安全教程|www.zygx8.com|我的开发技术随记

 找回密码
 注册成为正式会员
查看: 1534|回复: 7

[PC逆向破解] Synaptics Pointing蠕虫木马防中招和提取无木马文件分析

[复制链接]

21

主题

24

帖子

0

精华

终身高级VIP会员

Rank: 7Rank: 7Rank: 7

资源币
188
积分
46
贡献
0
在线时间
3 小时
注册时间
2020-2-19
最后登录
2020-5-1
发表于 2020-2-19 12:54:54 | 显示全部楼层 |阅读模式
Synaptics Pointing蠕虫木马防中招和提取无木马文件分析
《Synaptics Pointing Device Driver》

Synaptics是一个蠕虫木马,具有感染性。木马运行后显示一个隐藏工具,会复制自身至C:\ProgramData\Synaptics目录,在设置注册表自启动。之后创建两个线程。

相信很多小伙伴都中招了,我尝试过用QQ管家和QQ管家急救箱,360急救箱,全盘或者强力模式都对已经感染的文件不能查杀和修复,结果都是无果。

b1.jpg

b2.jpg


下面我教下大家如何对已经被捆绑了Synaptics蠕虫木马的软件去除和提取 并如何查自己哪些常用软件是中了此木马。

查哪些软件中了此木马比较简单,右键对软件属性,即可看到描述是Synaptics Pointing Device Driver,详细信息也是此描述,基本就是被捆绑了这个木马。

b3.jpg b4.jpg


拖进OD看看 我这个是一个易语言编译的无壳程序,懂点OD的应该也发现,易语言的OEP并不是这样,被捆绑了木马的OEP变成了这样,并下面有Synaptics的字符串,

已经确实这个软件已经被感染了,下面演示,怎么不运行,把没中木马的文件提取出来,方法比较简单,把中了这个蠕虫木马软件载入到OD里,


用论坛发的PE提取工具提取一下即可。如果之前电脑已经运行过这个蠕虫木马的程序,打开任务管理器,会有一个进程《Synaptics.exe》先结束掉此进程,


然后删除C:\ProgramData\Synaptics目录即可,目录是隐藏的,请打开系统的显示文件隐藏功能,然后你打开没有被捆绑Synaptics木马的软件,

就不会被感染了,如果不清除,您的电脑里的软件只要打开一次都会被感染。这里我打开一下被感染的,然后去运行以下没有被感染的看看,没有被感染,

另外其实被感染的软件打开后他会释放原来的没被感染的文件,._cache_XXXX开头的释放原来的没被感染的文件,就是只是被隐藏了起来,

这里剩下的就自己去研究下吧,感谢观看。


游客,如果您要查看本帖隐藏内容请回复


回复

使用道具 举报

2

主题

510

帖子

0

精华

终身高级VIP会员

Rank: 7Rank: 7Rank: 7

资源币
79
积分
519
贡献
0
在线时间
76 小时
注册时间
2019-12-26
最后登录
2024-3-21

终身VIP会员

发表于 2020-2-20 00:15:52 | 显示全部楼层
谢谢分享
回复

使用道具 举报

0

主题

36

帖子

0

精华

新手上路

Rank: 1

资源币
23
积分
36
贡献
0
在线时间
9 小时
注册时间
2020-1-15
最后登录
2020-4-2
发表于 2020-3-1 16:38:06 | 显示全部楼层
6666666666666666666666666666666
回复 支持 反对

使用道具 举报

0

主题

21

帖子

0

精华

新手上路

Rank: 1

资源币
1
积分
21
贡献
0
在线时间
0 小时
注册时间
2020-4-18
最后登录
2020-4-18
发表于 2020-4-18 21:22:58 | 显示全部楼层
6666666666666666666666666666666
回复 支持 反对

使用道具 举报

5

主题

617

帖子

0

精华

终身高级VIP会员

Rank: 7Rank: 7Rank: 7

资源币
245
积分
634
贡献
0
在线时间
159 小时
注册时间
2020-3-25
最后登录
2022-9-30

终身VIP会员

发表于 2020-4-29 18:29:14 | 显示全部楼层
看看
回复

使用道具 举报

5

主题

2943

帖子

0

精华

终身高级VIP会员

究极拾荒者

Rank: 7Rank: 7Rank: 7

资源币
169
积分
2987
贡献
0
在线时间
319 小时
注册时间
2020-2-3
最后登录
2024-3-14

终身VIP会员

发表于 2020-6-1 01:53:27 | 显示全部楼层
gxfx
回复

使用道具 举报

4

主题

2337

帖子

0

精华

终身高级VIP会员

Rank: 7Rank: 7Rank: 7

资源币
29
积分
2359
贡献
0
在线时间
257 小时
注册时间
2020-8-3
最后登录
2021-10-16

终身VIP会员

发表于 2020-8-12 02:57:51 | 显示全部楼层
祝资源共享吧越来越火!
回复 支持 反对

使用道具 举报

3

主题

40

帖子

0

精华

终身高级VIP会员

Rank: 7Rank: 7Rank: 7

资源币
29
积分
63
贡献
0
在线时间
20 小时
注册时间
2019-1-22
最后登录
2024-3-17

终身VIP会员

发表于 2022-9-4 08:22:02 | 显示全部楼层
木马防中招和提取无木马文件分析 [修
回复 支持 反对

使用道具 举报

 点击右侧快捷回复  

本版积分规则

小黑屋|资源共享吧 ( 琼ICP备2021005790号-1 )

GMT+8, 2024-3-29 05:34 , Processed in 0.068798 second(s), 15 queries , MemCached On.

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表