全球主机交流论坛

标题: 那个越南专版的DDOS器简单分析。。。。。。。。。。。。。 [打印本页]

作者: 单手摘月 时间: 2012-7-24 19:30
提示: 作者被禁止或删除内容自动屏蔽

作者: zrdlrofmine 时间: 2012-7-24 19:31
用来上线的

作者: Administrator 时间: 2012-7-24 19:32
提示: 作者被禁止或删除内容自动屏蔽

作者: 单手摘月 时间: 2012-7-24 19:33
提示: 作者被禁止或删除内容自动屏蔽

作者: 454309099 时间: 2012-7-24 19:34
本帖最后由 454309099 于 2012-7-24 19:40 编辑

基本信息
文件名称：JoHor-RDos.exe
文件哈希：573bbf51a6cc4c324a799613a59910ee
文件大小：2035068字节
创建时间：2012-07-24 19:30:05
文件类型：EXE
PEID信息：Microsoft Visual C++ 6.0 [Overlay]
文件注释：Reverse Denial Of Service(RDOS)
公司描述：Chinese_爵士(JoHor)
文件描述：Reverse Denial Of Service(RDOS)
文件版本：60.39.53.541
版权所有：Chinese_爵士(JoHor)
产品名称：JoHor_RDOS
产品版本：60.39.53.541

其他行为监控

行为描述：查找文件

附加信息："%temp%\JoHor_DDOS\\*.*"

行为描述：隐藏指定窗口

附加信息：Afx:10000000:8:10011:1900015:0 : [JoHor-RDos.exe]
               Edit : [JoHor-RDos.exe]
               WTWindow : [JoHor-RDos.exe]

行为描述：搜索指定窗口

附加信息：["" , "DDOS_dis_0.exe"]
               ["" , "DDOS_dis_1.exe"]
               ["" , "DDOS_dis_2.exe"]
               ["" , "DDOS_dis_3.exe"]
               ["" , "DDOS_dis_4.exe"]
               ["" , "DDOS_dis_5.exe"]
               ["" , "DDOS_dis_6.exe"]
               ["" , "DDOS_dis_7.exe"]
               ["" , "DDOS_dis_8.exe"]
               ["" , "DDOS_dis_9.exe"]

文件操作监控
操作                            文件MD5                   文件大小             文件路径
新增 8985d73f08638b4b48ecd30759c9e53f 69632 %temp%\E_N4\spec.fne
新增 0503d44bada9a0c7138b3f7d3ab90693 196608 %temp%\E_N4\internet.fne
新增 5dcf6693c3dfd4fcfdf49dc91e108201 225280 %temp%\E_N4\iext6.fne
新增 37a58e1c5ce48e401ee8dd1d1da54814 49152 %temp%\E_N4\xplib.fne
新增 6d4b2e73f6f8ecff02f19f7e8ef9a8c7          114688 %temp%\E_N4\dp1.fne
新增 b30423125f6dab85938bb28d1319e492 1101824 %temp%\E_N4\krnln.fnr
新增 d54753e7fc3ea03aec0181447969c0e8 40960 %temp%\E_N4\shell.fne
新增 cbd788f4c71b9776660d6e8473ae0e09 335872 %temp%\E_N4\eAPI.fne
新增 cba933625bfa502fc4a1d9f34e1e4473 221184 %temp%\E_N4\iext.fnr

网络监控
网络操作
【发送请求】GET www.xfgyw.com/jump.txt
【发送请求】GET www.xfgyw.com/usershell.txt[/url][/url]
【访问网址】[url]Http://www.xfgyw.com/jump.txt
【访问网址】[url]Http://www.xfgyw.com/usershell.txt

作者: 单手摘月 时间: 2012-7-24 19:37
提示: 作者被禁止或删除内容自动屏蔽

作者: 老大来了 时间: 2012-7-24 19:38
这真的牛的分析。。。

作者: 单手摘月 时间: 2012-7-24 19:39
提示: 作者被禁止或删除内容自动屏蔽

作者: 花雪月静 时间: 2012-7-24 19:44
不是易语言写的么

作者: 单手摘月 时间: 2012-7-24 19:45
提示: 作者被禁止或删除内容自动屏蔽

作者: 花雪月静 时间: 2012-7-24 19:45
楼主该反汇编了

作者: jy03097617 时间: 2012-7-24 19:46
那个IP就是要读取 www.xfgyw.com/jump.txt （公告文件）
www.xfgyw.com/usershell.txt （日期限制）
这两个文件的

作者: 花雪月静 时间: 2012-7-24 19:46

单手摘月发表于 2012-7-24 19:45
是C++啦

我看到有易语言的支持库

作者: _____________Cc 时间: 2012-7-24 19:47
折腾帝

作者: 花雪月静 时间: 2012-7-24 19:48
易语言程序在运行的时候释放出来的一堆东西

作者: 单手摘月 时间: 2012-7-24 19:49
提示: 作者被禁止或删除内容自动屏蔽

作者: 花雪月静 时间: 2012-7-24 19:51

单手摘月发表于 2012-7-24 19:49
不会怎么办？

用masm搜索@qq.com

作者: wormcy 时间: 2012-7-24 19:53
反汇编才是王道。。。

作者: 单手摘月 时间: 2012-7-24 19:56
提示: 作者被禁止或删除内容自动屏蔽

作者: jy03097617 时间: 2012-7-24 19:56
这货只是个壳，他释放的DDOS_dis_*.exe才是核心

作者: 花雪月静 时间: 2012-7-24 19:58

单手摘月发表于 2012-7-24 19:56
貌似无结果。。。高手来做个直播吧

高手在睡觉

作者: wdlth 时间: 2012-7-24 19:59
上ollydbg

作者: 单手摘月 时间: 2012-7-24 20:04
提示: 作者被禁止或删除内容自动屏蔽

作者: somin 时间: 2012-7-24 22:31

454309099 发表于 2012-7-24 19:34
基本信息
文件名称：JoHor-RDos.exe
文件哈希：573bbf51a6cc4c324a799613a59910ee

高手球带·~·

作者: cquyf 时间: 2012-7-24 22:37
不懂

作者: 俺低调 时间: 2012-7-24 22:38

好多年不玩OD已然不会了

作者: zidane 时间: 2012-7-24 22:45
提示: 作者被禁止或删除内容自动屏蔽

作者: LMVPS 时间: 2012-7-24 22:47
我不懂免杀，球带·

作者: 必应 时间: 2012-7-24 22:55
你们都弱爆了

作者: 单手摘月 时间: 2012-7-24 22:56
提示: 作者被禁止或删除内容自动屏蔽

作者: 单手摘月 时间: 2012-7-24 22:58
提示: 作者被禁止或删除内容自动屏蔽

作者: LMVPS 时间: 2012-7-24 23:10

单手摘月发表于 2012-7-24 22:56
球带，我也要免杀。。。你懂的

有木有上黑瞳

，貌似免杀几天就会给干掉

作者: 单手摘月 时间: 2012-7-24 23:17
提示: 作者被禁止或删除内容自动屏蔽

作者: 信仰 时间: 2012-7-24 23:26
貌似很牛逼的样子但是没用过没兴趣

作者: wwww961h 时间: 2012-7-25 00:14
现在还有人用天网？

作者: 单手摘月 时间: 2012-7-25 00:15
提示: 作者被禁止或删除内容自动屏蔽

作者: wwww961h 时间: 2012-7-25 00:16

单手摘月发表于 2012-7-25 00:15
不知道现在该用什么。。。突然想起天网了。。。

额，我记得我还有那个KEY的，他们官网打不开，我就没办法了，以前也用那个，感觉很好

作者: 单手摘月 时间: 2012-7-25 00:18
提示: 作者被禁止或删除内容自动屏蔽

作者: 满意沟通 时间: 2012-7-25 00:45

454309099 发表于 2012-7-24 19:34
基本信息
文件名称：JoHor-RDos.exe
文件哈希：573bbf51a6cc4c324a799613a59910ee

大牛这个用啥工具查太牛逼了

作者: qun 时间: 2012-7-25 02:39
我以为楼主反汇编…还打算学学……………

作者: Ruclinux 时间: 2012-7-25 03:22
不会是不停的刷新访问对方80端口吧？
那个分析报告是用Hips监视得到的.

作者: 454309099 时间: 2012-7-25 07:08

满意沟通发表于 2012-7-25 00:45
大牛这个用啥工具查太牛逼了

火眼

作者: mapleaf 时间: 2012-7-25 09:54
都是牛银啊

作者: loveminds 时间: 2012-7-25 09:57

花雪月静发表于 2012-7-24 19:44
不是易语言写的么

易应该算是C的一个分支

作者: 苁林老鬼 时间: 2012-7-25 10:05

金山火眼分析

作者: jumpsky 时间: 2012-7-25 10:07
表示完全看不懂

作者: pddeln 时间: 2012-7-25 10:18
E语言写的垃圾玩意吧果真释放出来一堆fne 查壳工具显示c++ 是因为加了壳还是什么不清楚

欢迎光临全球主机交流论坛 (https://loc.010206.xyz/)