MD!竟然用了这么久都不知道被绑了后门
[ 2006-03-24 20:37 | 作者:残耳 ]
习惯性地打开了XXX精灵,把我的小马和XXX精灵绑在一起,以前由于自己在虚拟机运行并没有发现什么异常,也没有多出什么可疑进程和服务就不大留意了,反正他们也在用,今天突然发觉运行的时候,有点不对头,闪了一下多出了一个窗口很快又消失了,马上用卡巴扫描了一下内存,没有异常,看了一下进程没有多出来,难道它隐藏了进程或是注射入了其他进程来运行?安全起见还是OD一下它,TMD,加了几段花和一个nspack壳我就认不出你啦,跟踪运行了N久,把伪指令清除掉,PEID 终于识别出nspack了,我直接用nspack脱壳机把它马甲撕下来,然后开始继续追踪,留马者不知道是怕我眼花还是怎么的,竟然没把后门地址加密或扰乱一下,直接弄个下载者类的代码套出一个http://XXXX.com/server/muma.exe地址 
打开发现该页面存有非法内容已被删除,我靠,怪不得我机子没有中马,原来是他的马已经夭折了,从这次经历中我才发现自己的马虎大意,常上荒山哪有不遇虎的,不要太信任那些黑友啦,还是自己先检查一遍再使用,本来想提作者出来骂的,可是想了想,人家写的东西爱用就用,没收你钱你还想怎样,我也没资格说了,只想对作者说声:“做人要厚道!”
打开发现该页面存有非法内容已被删除,我靠,怪不得我机子没有中马,原来是他的马已经夭折了,从这次经历中我才发现自己的马虎大意,常上荒山哪有不遇虎的,不要太信任那些黑友啦,还是自己先检查一遍再使用,本来想提作者出来骂的,可是想了想,人家写的东西爱用就用,没收你钱你还想怎样,我也没资格说了,只想对作者说声:“做人要厚道!”
Tags: 后门
引用通告地址:
GB2312 http://blog.gxceo.com/old/trackback.php?id=41&encode=gb2312
UTF-8 http://blog.gxceo.com/old/trackback.php?id=41&encode=utf-8
Big5 http://blog.gxceo.com/old/trackback.php?id=41&encode=big5
GB2312 http://blog.gxceo.com/old/trackback.php?id=41&encode=gb2312
UTF-8 http://blog.gxceo.com/old/trackback.php?id=41&encode=utf-8
Big5 http://blog.gxceo.com/old/trackback.php?id=41&encode=big5
暂时没有评论,正等待您的添加.
