逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

  • A+
所属分类:lcx

2013-8-1 20:47:29 补充声明:

事后经过与张少宇同学本人核实,该事件与张少宇(QQ:448322544)无关,而是之前他在网上认识的朋友“蛋蛋”(QQ:303900900,也就是92pojie域名注册人)一手操作。

92pojie网站成立的时候,张少宇同学有过参与,但与本次挂马事件无关,与挂马有联系纯属巧合。

张少宇同学五月份刚从美国回来,三月份的时候由于他不在国内,QQ也就交给网上的一个朋友也是他老乡代挂了。

请各位朋友终止对张少宇同学的骚扰,对此给各位带来的不便,本人深感抱歉。


免责声明:

以下所有资料均是从木马病毒文件中提取出来的原始样本信息,或者是从公共查询系统、公共搜索引擎获取的公开资料不涉及任何私人绝密资料个人隐私信息!并且不是通过渗透、入侵等任何非法途径取得,所以本文内容完全合法,谢绝任何所谓的法律责任!


今天(实际上是昨天写的文章)碰到了一巨“奇葩”的"挂马""黑客"!!!且容细细道来……

本文所涉及到的数据包、木马样本均提供下载,请看末尾打包地址。


今日早些时候,某朋友得到了一个“有问题”的网站(具体来源就不讲了,这个不重要,该站现已修复),发来看了看,于是发现了一巨奇葩挂马黑客,然后?然后当然是被核总逆向爆菊了……

该问题网址为:

路面施工质量管理系统-质量监督登录
http://manage.v-app.cn/

打开后跳转到:

http://manage.v-app.cn/index.php?uc=session&ua=login

很明显是某种后台管理系统,然后突然弹出来一个文件下载框:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

纳尼???What The Fuck!这尼玛啥玩意儿??

看这风骚的网址、淫荡的文件名,它应该是个木马没跑了!核总大爱啊!操刀上!

首先翻看页面源代码:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

瞪大眼睛仔细一瞧,纳尼???!!!!!

路面施工质量管理系统-质量监督登录

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

What The Fuck!!! Are you kidding me?

核总提示:这种代码格式一看就是使用通用挂马工具或脚本批量插入的,完全破坏了源文件,想不被人发现都难

这他妈的谁挂的马?!逗我玩呢??!!!!特么的太不专业了!!!!这是哪个抓鸡盗号论坛的版主教的你???!!!奇葩啊!!!!

核总当时就凌乱了!!!!哥玩电脑这么多年,还从来没见过如此奇葩的挂马方式!小朋友,你这有上线的么?……

咳!咳!扯远了,先把木马样本(见末尾样本打包)下下来再说……

http://108.171.246.30:8082/server.exe
IP地址: 108.171.246.30
来自: 美国

顺道检测了下服务器,直接访问根目录:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

HttpFileServer v2.3 beta 266 随波汉化版

纳尼?这特么的是个啥?百度了一下还蛮多的,目测是某种轻量级Web文件管理程序,感兴趣的可以检测下,兴许可以拿到服务器,由于本文不涉及任何非法入侵行为,所以这里就不演示了……

再看一下文件列表:

http://108.171.246.30:8082/ 下的文件列表:

文件修改时间			文件大小		点击量		位置
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2013-7-24 3:52:07		276.61 K 		201		/server.exe
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
此目录下共有:
1 个文件
0 个文件夹
所含文件总大小:276.61 K

此文件列表由HFS v2.3 beta (Build #266)随波汉化版生成

看木马最后修改时间,挺新的吗,这位抓鸡黑阔前两天凌晨四点才生成的……

根据经验(你懂的),又访问了一下80端口根目录:

http://108.171.246.30/

您未被授权查看该页

HTTP 错误 401.1 - 未经授权:访问由于凭据无效被拒绝。

很遗憾,看来没有开放访问……

把玩了一番木马文件托管服务器后,回过头来再看看下载下来的木马……

木马基本信息如下:

server.exe

276 KB (283,248 字节)

最后修改时间:2013年7月24日,3:52:08

Size: 283248
MD5: 8b95b6782a0565c465b2a3f99c8b6b8d
SHA1: ffeda72e3ee6b93660422152b90c248759a6da75
SHA256: 62bfb4896dfa1e830bec9afb012e5ab370b067f06c561ff5026d03ccaf345aac

Microsoft Visual C++ 6.0
Notice:0x00000070 extra bytes found,starting at offset 0x00045200.
PE32 executable for MS Windows (GUI) Intel 80386 32-bit

先用纯文本模式打开看看(核总提示:在手头没有工具的情况下,这样可以快速判断文件性质,调用的API以及一些敏感字符串信息),在木马样本末尾发现了搞笑的一幕……

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

发现黑阔编译木马时泄露的电脑信息一条(核总提示:编译工具会泄露编译者电脑部分信息,曾被用来追踪木马程序作者,例如:追踪PlugX Rat作者,人肉定向攻击远控PlugX开发者):

C:Documents and SettingsAdministrator桌面过拦截3.77源码3.77源码NewLoaderDebugMelody.pdb

由此路径推断出放马黑阔电脑部分信息:

系统:Windows XP,账号:Administrator,某种开放源码的远控一款,程序版本号:3.77

然后又十六进制简单查看了下,发现一些木马配置信息:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

在文件尾部,以特定格式写入了几十字节数据:

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00045200   4E 42 31 30 00 00 00 00  74 55 ED 51 02 00 00 00   NB10....tU鞶....
00045210   43 3A 5C 44 6F 63 75 6D  65 6E 74 73 20 61 6E 64   C:Documents and
00045220   20 53 65 74 74 69 6E 67  73 5C 41 64 6D 69 6E 69    SettingsAdmini
00045230   73 74 72 61 74 6F 72 5C  D7 C0 C3 E6 5C B9 FD C0   strator桌面过?
00045240   B9 BD D8 33 2E 37 37 D4  B4 C2 EB 5C 33 2E 37 37   菇?.77源码3.77
00045250   D4 B4 C2 EB 5C 4E 65 77  4C 6F 61 64 65 72 5C 44   源码NewLoaderD
00045260   65 62 75 67 5C 4D 65 6C  6F 64 79 2E 70 64 62 00   ebugMelody.pdb.

格式很简单,前四个字节是木马标志,然后四个零分割,家下来是五字节未知数据,应该是上线地址,末尾是刚才的黑阔电脑路径。

然后,核总果断开了一台虚拟机,拆了这木马,揪出上线地址……

开启文件监控,然后打开抓包工具,最后执行木马,坐等其运行……

先看文件监控结果,木马创建了以下路径文件:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

创建文件:

c:WINDOWSD8C2E3B4 创建了
c:WINDOWSD8C2E3B4svchsot.exe 创建了
c:WINDOWSPrefetchNET1.EXE-029B9DB4.pf 创建了
c:WINDOWSPrefetchNET.EXE-01A53C2F.pf 创建了
c:WINDOWSTasksAt1.job 创建了
c:WINDOWSTasksAt2.job 创建了
c:WINDOWSTasksAt3.job 创建了
c:WINDOWSTasksAt4.job 创建了
c:WINDOWSTasksAt6.job 创建了
c:WINDOWSTasksAt7.job 创建了
c:WINDOWSTasksAt9.job 创建了
c:WINDOWSTasksAt11.job 创建了
c:WINDOWSTasksAt13.job 创建了
c:WINDOWSTasksAt15.job 创建了
c:WINDOWSTasksAt15.job 创建了
c:WINDOWSTasksAt18.job 创建了
c:WINDOWSTasksAt20.job 创建了
c:WINDOWSTasksAt22.job 创建了
c:WINDOWSTasksAt24.job 创建了
……

可以看到,该木马在Windows目录创建了一文件夹“D8C2E3B4”(可能是随机命名的),然后复制自身到该目录,最后创建了一堆计划任务,目测是用来自启动的……

再看看木马建立的启动项:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

可以很明显的看出来,该木马使用两种方式实现自启动:

1、使用注册表启动项自启动:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"D8C2E3B4"="C:\WINDOWS\D8C2E3B4\svchsot.exe"

2、使用Windows的计划任务功能实现自启动,该木马一共创建了24个计划任务,在未来一天中将会每隔一小时执行一次:

C:WINDOWSTasksAt1.job
C:WINDOWSTasksAt2.job
C:WINDOWSTasksAt3.job
C:WINDOWSTasksAt4.job
C:WINDOWSTasksAt5.job
C:WINDOWSTasksAt6.job
C:WINDOWSTasksAt7.job
C:WINDOWSTasksAt8.job
C:WINDOWSTasksAt9.job
C:WINDOWSTasksAt10.job
C:WINDOWSTasksAt11.job
C:WINDOWSTasksAt12.job
C:WINDOWSTasksAt13.job
C:WINDOWSTasksAt14.job
C:WINDOWSTasksAt15.job
C:WINDOWSTasksAt16.job
C:WINDOWSTasksAt17.job
C:WINDOWSTasksAt18.job
C:WINDOWSTasksAt19.job
C:WINDOWSTasksAt20.job
C:WINDOWSTasksAt21.job
C:WINDOWSTasksAt22.job
C:WINDOWSTasksAt23.job
C:WINDOWSTasksAt24.job

另附上在线程序行为分析、病毒检测结果:

1、Comodo Instant Malware Analysis

0xd8 C:TESTsample.exe 0x8a2900 CopyFileA(lpExistingFileName: "C:TESTsample.exe", lpNewFileName: "C:WINDOWSD8C2E3B4svchsot.exe", bFailIfExists: 0x1)|0x1 

DNS Queries
DNS Query Text
www.92pojie.net IN A +

2、Anubis: Analyzing Unknown BinariesHtml格式报告

3、VirSCAN.org 11%的杀软(4/36)报告发现病毒,免杀效果不错嘛,国内杀软几乎全过。

核总这里给出该木马手工查杀方法

1、先使用进程管理工具结束掉木马进程,该木马属普通木马,没有任何进程保护功能。

2、进入系统目录,清理掉上述木马创建的文件列表。

3、然后使用启动项管理工具(例如:XueTr、PowerTool),删除木马创建的启动项及计划任务(删除文件也可)。

很好,接下来分析木马通讯数据包(Packets.cscpkt,科来网络分析系统 2010 技术交流版,数据包提供下载,见末尾):

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

一眼就可以揪出木马上线地址:

TCP: www.92pojie.net:2012 --> 108.171.246.30:2012

可以看出,该域名和之前托管木马的下载地址是同一服务器。

连接了一下该端口,发现可以连通,那么其远控主控端仍在服务器上运行,目测肉鸡不少,感兴趣的朋友可以日下服务器观摩观摩……

果断 Whois 查了一下:

Whois 信息:

域名:92pojie.net
注册商:SHANGHAI YOVOLE NETWORKS INC.
域名服务器:whois.yovole.com
DNS服务器:NS.YOVOLE.COM
DNS服务器:NS1.YOVOLE.COM
域名状态:运营商设置了客户禁止转移保护
更新时间:12-3月-2013
创建时间:12-3月-2013
过期时间:12-3月-2014

domain: 92pojie.net
mntnr: MNTNR1
changed: 2013-03-22 04:54:04.0
nameserver: ns.yovole.com
nameserver: ns1.yovole.com

[holder]
mntnr: MNTNR1
type: ORGANISATION
name: zhou shuqiang
address: Zheng Dong New District 107 State Road
pcode: 450000
country: CN
phone: 86-052389150111
fax: 86-052389150111
email: [email protected]qq.com
changed: 2013-07-28 15:46:48.0

[admin_c]
mntnr: MNTNR1
type: ORGANISATION
name: shuqiang zhou
address: Zheng Dong New District 107 State Road
pcode: 450000
country: CN
phone: 86-052389150111
fax: 86-052389150111
email: [email protected]qq.com
changed: 2013-07-28 15:46:48.0

[tech_c]
mntnr: MNTNR1
type: ORGANISATION
name: shuqiang zhou
address: Zheng Dong New District 107 State Road
pcode: 450000
country: CN
phone: 86-052389150111
fax: 86-052389150111
email: [email protected]
changed: 2013-07-28 15:46:48.0

[zone_c]
mntnr: MNTNR1
type: ORGANISATION
name: shuqiang zhou
address: Zheng Dong New District 107 State Road
pcode: 450000
country: CN
phone: 86-052389150111
fax: 86-052389150111
email: [email protected]
changed: 2013-07-28 15:46:48.0

然后从中得到以下有价值资料:

92pojie.net 域名 DNS 服务器由“有孚网络—中国领先的云计算数据中心运营商(www.yovole.com)”托管。

姓名:zhou shu qiang (周树强?)
地址:Zheng Dong New District 107 State Road (郑东新区107国道)
P 码:450000
电话/传真:86-052389150111(这号码是3A网络(www.cnaaa.com)的客服电话,该域名是在这里注册的?)
邮件:[email protected]

紧接着百度搜了一下:92pojie.net,然后看到:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

张少宇的微博_腾讯微博
眼花了,版规终于写完了.欢迎访问隐逆网络技术论坛: www.92pojie.net 昨天04:08 阅读(78) 全部转播和评论(2) 转播|评论| 更多...
t.qq.com/arron-007 2013-3-15 - 百度快照

taobao的个人空间
http://kaixin.ispeak.cn/?1654820
http://kaixin.ispeak.cn/space-uid-1654820.html

隐逆网络技术论坛:www.92pojie.net 正式起航,论坛刚起步欢迎新老成员入驻,我门会不断的更新免杀,出新的教程,以及软件,让每个人都会学习到技术,我门的成才离不开大家的支持。 ... 
2013-3-16 23:05:20

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

看发布时间,应该是刚注册域名刚建好站(4天,看名字八成又是什么抓鸡盗号论坛),发布的一条信息……

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

个人资料

taobao (UID: 1654820)
空间访问量:3700
邮箱状态:未验证
视频认证:未认证
最新记录:隐逆网络技术论坛:www.92pojie.net 正式起航,论坛刚起步欢迎新老成员入驻,我门会不断的更新免杀,出新的教程,以及软件,让每个人都会学习到技术,我门的成才离不开大家的支持。 ...
统计信息:好友数 3 | 记录数 1185 | 日志数 649 | 相册数 1|回帖数 0 | 主题数 0| 分享数 0
居住地:重庆 渝中
常驻频道:190070

活跃概况
用户组:[Lv.9]社区至尊
在线时间:1 小时
注册时间:2009-9-10 06:47
最后访问:2013-3-16 23:01
上次活动时间:2013-3-16 23:01
上次发表时间:2013-3-16 23:05
所在时区使用:系统默认

统计信息
已用空间:31.4 MB
积分:26972
威望:26947
金钱:25
贡献:0

获得一条有价值信息:

居住地:重庆 渝中

再看腾讯微博(t.qq.com/arron-007)百度快照信息:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

张少宇:

眼花了,版规终于写完了.欢迎访问隐逆网络技术论坛: www.92pojie.net.

昨天 04:08阅读(78)全部转播和评论(2)

根据前后文时间推断,应该是注册完域名后刚建完论坛发的,可惜只坚持了不到三个月就关门了,看来站长是三分钟热度……

腾讯微博个人资料:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

账号:arron-007
姓名:张少宇
QQ空间:http://user.qzone.qq.com/448322544
QQ号:448322544
台湾台北市
射手座
……

哇,有QQ耶!核总会告诉你“加他QQ,探测对方IP,然后定位物理位置或者查出电话号码(例如:中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码,上门砍人),上门砍人!”么?

再进入QQ空间:http://user.qzone.qq.com/448322544

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

张少宇 ? And yan xielao

公告:承接脱壳破解,程序开发,免杀木马

姓名:张少宇
性别:男
QQ :448322544
年龄:25
生日:1986.12.20
地址:台湾省台北市
空间说明:公开群号151835530,本团队致力于网络安全及国际新闻

没见过有人主动公开如此详细的个人资料……

再看QQ空间个人基本资料:

性别:男
年龄:27
生日:12月20日
星座:射手座
现居地:中国台湾台北市
婚姻状况:保密
血型:O
故乡:中国
职业:计算机工程师(核总吐槽:挂个马都挂不好!你好意思啊!好意思啊!!!!)
公司名称:華研國際唱片
公司所在地:中国台湾台北市
详细地址:来自外太空的,另类种族。-以黑客網絡著称

再看看QQ号资料:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

卧槽,刷钻黑客啊……

百度一下QQ,还有大量资料:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

#传奇 俱乐部列表
合击‖赤焰メ永世辉煌‖
电信
asd448322544

#穿越火线战队
﹏c.Fゝ幽灵
yy:339663
QQ:448322544
电邮:[email protected]
http://cf.gamebbs.qq.com/forum.php?mod=viewthread&tid=1613012
(↑该地址有其玩游戏详细自述经历……)

#腾讯CF论坛
http://cf.gamebbs.qq.com/?148590
﹏c.Fゝ幽灵(UID: 148590)
QQ:448322544
所属战队:彭格列总部
性别:男
生日:1986 年 12 月 20 日
兴趣爱好:睡睡懒觉,工作一下
职位:总经理
真实姓名:张少宇
出生地:台湾省 台北市
学历:硕士
交友目的:你猜.
职业:金融投资
居住地海外:新加坡
毕业学校:Harvard university
用户组:上等兵
注册时间:2010-2-10 16:39
最后访问:2013-2-17 16:35
上次活动时间:2013-2-17 16:35
上次发表时间:2013-2-15 04:05

#百度贴吧
百度账号:every99,http://www.baidu.com/p/every99
帖子:应聘鸭子(核总吐槽:你没看错!!!应聘鸭子!!!!)
本兄弟四人身材好,体力强悍,持久技术流,欲找夜总会当少爷,想要的MM及少妇也可直接联系我们上门,可先视频,满意后上门。QQ:448322544,69805998,969515151,985172531。

百度账号:俊メ杉浦太陽,http://www.baidu.com/p/俊メ杉浦太陽
帖子:求詹士德的手机铃音!!!!!!
QQ:448322544
邮箱:[email protected], [email protected]

百度账号:NOo1_越前龙马,http://www.baidu.com/p/NOo1_越前龙马
帖子:黑客帝国,招募程序员 技术员。
如标题。有意者请加QQ:448322544

资料太多了,不挖了,感兴趣的朋友可以继续……

掌握以上资料,想上门“膜拜”,已经很简单了……

后记:

核总写此文并不是为了爆菊而爆菊,而是为了告诉各位朋友,不要以为在互联网上做了某些事情没人查得出来,想查你很简单!

仅通使用一点点技术技巧,再通过过公共查询系统,即可获取你大量详细资料!更不要说有权调用各种资源的公安部门(IP地址、QQ号实时对应身份证号、电话号码、物理位置,精确到十米内!),上门砍你跟玩似的!要想人不知,除非己莫为!

最好告诫大家,请不要在互联网上泄露资料,说不定哪天就把你卖了!

最后,推荐一篇文章:视频:神奇的读心大师 网上有你的整个人生 利用社工+人肉来做神棍……

资料打包下载:

路面施工质量管理系统挂马分析资料.rar

警告:如非专业人士,请勿随意执行附件中木马病毒样本,否则后果自负!

相关工具下载:

Hook全盘文件创建的监控.rar

这是一个轻量级文件监控工具,对付简单的病毒木马足矣。

如需更高级、更复杂的功能,则推荐微软官方出品的程序行为监控工具:Process Monitor (同时包含:注册表、文件读写、进程操作、网络访问等监控功能)或 Filemon (只有文件读写监控功能),推荐使用“Process Monitor”,它包含了“Filemon”所有功能。

相关内容:

上来吐个槽,再次侦破一宗牵扯到全国多个大型医疗集团的恶性案件!

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

上海伊莱美医院被黑、黑帽SEO做淘宝客,核总深入追查,揪出内鬼!

核总霸气分析“天津丽人女子医院”主站被黑、挂淘宝客、黑帽SEO全过程!

打击钓鱼,人人有责……

追查黑客姓名,邮箱,支付宝信息,惊现大规模僵尸网络,要求警方介入处理!

服务器被入侵之后,反爆1433抓鸡黑客菊花,并公布大量黑阔账号密码

追踪PlugX Rat作者,人肉定向攻击远控PlugX开发者

【需翻墙】网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!

刚刚看到个鱼站,然后就被轮流爆菊了……

使用电视棒接收飞机信号 简单的实现方法

rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

支付宝木马爆菊过程总结帖【附源码】

接上一章节,支付宝木马,后续情节【2】

接上一章节,支付宝木马,后续情节

360对你真的起作用了吗?bypass....分析支付宝网银木马,反爆菊花

揭秘诈骗千万人民币的团伙及具体位置分析

接着核总的《打击钓鱼,人人有责》之后的故事...

【跟风贴】XSS挖出一个黑产团体

XSS挖出一个黑产团体

耍了一个发给我网购木马的骗子~~

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

东京大学加密招生海报解密过程(内含妹子)

视频:神奇的读心大师 网上有你的整个人生 利用社工+人肉来做神棍……

简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例

黑客的新目标:泄密其他黑客资料

某人肉搜索的典型案例分析 一群推理神牛

留言评论(旧系统):

hitom @ 2013-07-28 22:30:53

今天爆的好霸气,估计对方应该不大吧,非主流路线!!

本站回复:

Soga.

佚名 @ 2013-07-28 23:50:43

所不定哪天就把你卖了! 有错别字

本站回复:

感谢指正!已修复!

雨路 @ 2013-07-29 00:07:22

来自_[other14.txt]_Datas
内容: goodwell888 aspirine [email protected]

来自_[qq.com (38).txt]_Datas
内容: 448322544----aspirine3857030Q

来自_[pconline.com.cn1-1.txt]_Datas
内容: goodwell888 aspirine [email protected]

来自_[163-9.txt]_Datas
内容: [email protected]

来自_[qq.com (7).txt]_Datas
内容: 448322544----aspirine3857030Q

本站回复:

三克油!

佚名 @ 2013-07-29 04:18:23

yovole.com 有注射的,不过那密码加密很蛋疼解不出来,当时有几个很大的减肥药网站就放这上面,然后......

本站回复:

然后,然后就没有了……

佚名 @ 2013-07-29 09:39:41

为什么核總的朋友老是给人挂马。。

本站回复:

因为核总的朋友都是呆稚萌……

erevus @ 2013-07-29 12:40:02

为了核总再出好文章 我决定牺牲我自己 给核总朋友再挂个马

本站回复:

我勒个去,你妹……

dashige @ 2013-07-29 13:05:16

我感觉这样挂马说明他没有网马或者网马中率低,这样挂会有小白下载运行的。如果是他伪装成ie插件类的更好。
如果能研究出hfs和他那个远控的漏洞就好了 - -!

本站回复:

这种小白实在罕见……伪装成IE浏览器控件,这个可以有……

佚名 @ 2013-07-29 13:46:08

核总 那个好像不是远程工具的图片吧 有几张让我想起来以前玩的黑客游戏界面吧 呵呵

本站回复:

是的,很早的那种黑客闯关游戏的界面……

佚名 @ 2013-07-29 16:23:14

6#社工库自己搭建的还是?地址勒。。

本站回复:

目测是……

xunzhiyi @ 2013-07-29 18:06:54

核总 他那个照片是台湾黑客论坛的游戏比赛题目呀 以前我也去过那网站 玩过类似的游戏题目

本站回复:

是啊,某种黑客闯关类游戏……

佚名 @ 2013-07-30 19:33:33

何总,您的“hook全盘文件创建的监控”工具能共享一下吗~

本站回复:

嗯,这款工具属轻量级文件监控工具,功能比较简陋,如果你需要的话,可以加我QQ: [email protected]

佚名 @ 2013-08-01 11:11:30

核总,小弟能否将你的事例抽象成案例,给大家分析一下!

本站回复:

法律及各种后果自负……

123 @ 2013-08-01 23:32:15

额,这个远控我看到过 开源的 源码我也有 呵呵虽然不懂源码

本站回复:

╮(╯_╰)╭

xpsp1 @ 2013-08-05 20:18:21

关键是 下一步控制端的IP如何拿下

本站回复:

╮(╯_╰)╭

pang @ 2013-08-11 22:02:52

给霸气的霸气的核总~ 留个言.

本站回复:

向霸气的霸气的留言~ 吐个槽.

撸过... @ 2013-10-20 10:55:33

膜拜何总...

本站回复:

You Are Welcome!

佚名 @ 2013-10-21 15:42:46

我感到稀罕的VirScan结果里竟然有Rising
看来狮子最近有起色啊 呵呵

本站回复:

狮子这都很多年没听到消息了,不晓得有木有快倒闭了……

iris @ 2014-01-10 21:23:30

核总该再推荐些小菜用得上的 木马/后门检测 辨识 清除工具,小菜就差这些,网上找的又不太放心。

本站回复:

1、XueTr v0.45、PowerTool v4.2 等类似的进程、文件综合安全分析工具。
2、各类抓包工具,很多,不一一列举了。
3、微软官方出品的程序行为监控工具:Process Monitor (同时包含:注册表、文件读写、进程操作、网络访问等监控功能)或 Filemon (只有文件读写监控功能),推荐使用“Process Monitor”,它包含了“Filemon”所有功能。
4、在线病毒检测类网站:www.virscan.org
5、在线程序行为分析、病毒检测网站:http://camas.comodo.com/cgi-bin/submit,http://anubis.iseclab.org/
6、虚拟机及其他辅助工具……

Saknc @ 2014-01-23 00:29:00

卧槽我竟然有这个黑阔的好友。。。什么时候加的

本站回复:

纳尼?

我勒个去 @ 2014-02-08 12:07:35

我勒个去,进来就是找这篇的,只不过忘记标题了,一次右键打开好几个,慢慢看,然后,IP被封了,提示不要刷新或CC,好高端

本站回复:

噢,这是防御CC攻击模块 (Anti-CC.asp):http://lcx.cc/?i=2094

佚名 @ 2014-03-25 18:15:31

今天我的网站也被挂同样的木马 但是我不知道怎么做 源码里边找不到 楼主能帮帮我吗

本站回复:

在所有文件中搜索被挂的代码,清理掉。

唐家三少 @ 2014-04-27 18:24:33

内985172531的资料呢?

本站回复:

-_-|||

佚名 @ 2014-09-11 12:56:03

诶哟 真牛的技术啊

本站回复:

佚名 @ 2014-09-15 10:02:22

最喜欢看爆菊文章了,多多更新啊,核总!

本站回复:

-_-|||

bobo @ 2015-10-06 19:37:49

傻逼 hfs2.3b直接提权 谁尼玛教你的

本站回复:

-_-!!!

文章来源于lcx.cc:逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: