SHA1:3670e86d024ccecc39c2a237d550b2ce7e7d95b1
一个避免启发式扫描的方式
bj_sub_403140_registerclass(hInstance); if ( bj_sub_4031A0_createwindow(hInstance, nShowCmd) ){v4 = CreateThread(0, 0, StartAddress, 0, 0, 0);if ( v4 ){MessageBoxA(0, Text, 0, 0x1000u);TerminateThread(v4, 0xFFFFFFFF);goto normal; //去正常执行代码}}
ATOM __cdecl bj_sub_403140_registerclass(HINSTANCE a1)
{WNDCLASSEXA v2; // [esp+0h] [ebp-30h]v2.cbSize = 48;v2.style = 3;v2.lpfnWndProc = sub_403120;v2.cbClsExtra = 0;v2.cbWndExtra = 0;v2.hInstance = a1;v2.hIcon = 0;v2.hCursor = 0;v2.hbrBackground = 6;v2.lpszMenuName = 0;v2.lpszClassName = ClassName;v2.hIconSm = 0;return RegisterClassExA(&v2);
}
LRESULT __stdcall sub_403120(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam)
{return DefWindowProcA(hWnd, Msg, wParam, lParam);
}
HWND __cdecl bj_sub_4031A0_createwindow(HINSTANCE hInstance, int nCmdShow)
{HWND result; // eaxdword_473E60 = hInstance;result = CreateWindowExA(0x80u, ClassName, WindowName, 0xCF0000u, -500, -500, 10, 10, 0, 0, hInstance, 0);hWnd = result;if ( result ){ShowWindow(result, nCmdShow);UpdateWindow(hWnd);result = 1;}return result;
}
void __stdcall __noreturn StartAddress(LPVOID lpThreadParameter)
{while ( 1 ){keybd_event(VK_ESCAPE, 0, 0, 0);Sleep(1u);}
}一些密码hash收集方式
sub_40C470里, 包括:
• Cached passwords from Internet Explorer 6/7/8/9 (Protected Storage and
IntelliForms)
• Mozilla Firefox stored secrets (<12.0)
• Chrome stored secrets
• MS Outlook Express accounts
• MS Windows Mail accounts
• MS Windows Live Mail accounts
• MS Outlook accounts (SMTP/IMAP/POP3/HTTP)
• MSN Messenger
• Gmail Notifer credentials
• Google Desktop accounts
• Google Talk accounts
感想
病毒的功能:
- 基本的功能, 注册表操作,文件遍历, 进程操作, 线程操作, 网络操作等, 熟悉基本API即可, 高级一点的会调native函数. 驱动另说.
包含收集其他软件信息的功能, 这部分代码初看难看懂, 不过通过运行过程中的相应字符串可以确定对应的软件名, 那么相应的具体操作方式可以放着再研究.
对于第一点中, 注册表操作了之后, 效用是什么, 跟2类似.
对于第一点中网络操作发包的效用是什么, 有时可能会有认识困难, 如果是普通的与CC服务器交流, 那没什么. 如果是类似永恒之蓝那样的漏洞溢出包, 那么就可以知道肯定与目标机器的445端口有关. 不过大多数黑客会整个重用工具包代码, 所以代码相似性比较也能用于确认.
对于第一点中, 有时一个普通的API调用, 可能触发别的进程代码执行, 这种情况若无背景知识也难理解, 得调试才知道为什么. 例如EWMI方式注入Explorer进程.
SHA1:3670e86d024ccecc39c2a237d550b2ce7e7d95b1相关推荐
- java sha1加密ascii码_请问下面java的Sha1加密在c#中对应要怎么写?
/** * 读取指定文件块数据Sha1 * * @param fis * @return */ private static MessageDigest calSha1(BufferedInputSt ...
- C语言实现SHA-1
参考:<密码学引论>第二版 武汉大学出版社 SHA-1简介 SHA-1(英语:Secure Hash Algorithm 1,中文名:安全散列算法1)是一种密码散列函数,美国国家安全局设计 ...
- SQL Server 数据库中的 MD5 和 SHA1加密算法
MD5 和 SHA1 是一种单向加密算法,常用于密码的验证等需要加密操作的场合,在一般情况下,开发人员可以通过 Delphi 或 PHP 这类语言自己编写相关函数或者使用自带的函数,然后将加密过的结果 ...
- ASP.NET中使用MD5和SHA1算法加密
你的主页或者你管理的网站有各种密码需要保护,把密码直接放在数据库或者文件中存在不少安全隐患,所以密码加密后存储是最常见的做法.在ASP.NET中实现加密非常容易..NET SDK中提供了CookieA ...
- JAVA SHA1 加密 对应 c# SHA1 加密
java: 1 public static String SHA1(String decript) { 2 try { 3 MessageDigest digest = MessageDigest.g ...
- 如何对linux镜像md5,Linux系统如何校验SHA1和MD5
Linux系统如何校验SHA1和MD5?HA1和MD5都是可唯一确定文件的重要标志,只有SHA1或者MD5值一致才能保证下载到的文件是正确的.下面跟着学习啦小编来一起来了解下吧. Linux系统校验S ...
- android jks sha1,Android 获取签名文件jks的SHA1值或者SHA256的值
apk文件需要利用jks进行签名,可以防止应用被恶意篡改替换,标识开发者身份,加强了应用的安全性.(keystore也可以) 第一种最智慧的方法 使用安卓studio自带功能(谷歌真的很强大) 鼠标点 ...
- java nonewithrsa,如何使“MessageDigest SHA-1和Signature NONEwithRSA”等同于“Signature SHA1withRSA”...
我有兴趣将带有RSA签名的SHA-1哈希应用于某些数据,但我需要分两步完成 – 首先应用哈希然后对数据进行签名. Signature.sign()函数似乎创建了一个最终签名的更复杂(ASN.1?)的数 ...
- 小程序 sha1和服务器有关系吗,微信小程序使用sha1实现密码加密的方法介绍
微信小程序使用sha1实现密码加密的方法介绍,字符串,程序,转换为,详解,函数 微信小程序使用sha1实现密码加密的方法介绍 易采站长站,站长之家为您整理了微信小程序使用sha1实现密码加密的方法介绍 ...
最新文章
- NetBeans IDE 实现php开发自动上传到开发服务器 的设置
- Django中的Session与Cookie
- 有了C盘之后,添加另外一个磁盘的方法
- slot多作用域 vue_vue插槽
- java day50【综合案例day02】
- java 区间api_Java 常用API(一)
- php 百分比,小数2位
- 《宏观经济学》第一章
- R语言 数据抽样(数据失衡处理、sample随机抽样、数据等比抽样、交叉验证抽样)
- 利用百度api接口制作在线语音合成软件
- QTextEdit添加输入提示语
- Matlab | 车辆路径规划应用实例(含源码)
- nginx配置访问白名单
- 三基色、三原色的区别
- HTML CSS JS 特殊字符编码表
- GNOME Shell加速演进:BoxPointer, AppMenu和Magnifier
- dnf强化卷代码_DNF4.9日魔盒更新内容详解_全强化卷概率一览_52pk
- HTML--文字与段落--特殊符号--有序列表无序列表
- 冲击波超压峰值曲线绘制
- Laravel 中自定义 验证,例如身份证号验证