研究目的:研究程序功能原理。
该样本运行后点开始测试行为如下: (动手能力强的可以自己分析研究下,如有遗漏请指出)打开文件 C:\WINDOWS\system32\SHELL32.dll
打开文件 C:\WINDOWS\system32\shdocvw.dll
创建鼠标钩子: WH_MOUSE
创建键盘钩子: WH_KEYBOARD
访问远程文件: w w w。j d t bk。com/tbk/tbpid.txt
打开文件 C:\WINDOWS\system32\stdole2.tlb
读取远程文件: w w w。j d t bk。com/tbk/tbpid.txt
访问远程文件: w w w。j d t bk。com/tbk/tz.txt
读取远程文件: w w w。j d t bk。com/tbk/tz.txt
访问Windows Socket Interface 接口
但是我还是没明白这个程序是如何实现检测并URL跳转的,根据主动防御监测,点开始后会启动C:\Program Files\Internet Explorer\IEXPLORE.EXE 但不显示窗口,用途不明。(如果阻止启动IEXPLORE.EXE程序依旧正常并能跳转。)
哪位高手分析分析,看看这个跳转到底是如何实现的。
8 个解决方案
#1
样本附件地址:http://download.csdn.net/detail/GhostTZS/3676796
解压密码:test123
解压密码:test123
#2
自己搞定,其实很简单。。。
Private Sub Command1_Click()
Dim w
Dim s As New SHDocVw.ShellWindows
For Each w In s
If InStr(w.LocationURL, "baidu.com") > 0 Then
w.Navigate ("www.google.cn")
End If
Next
End Sub
#3
轻轻的我来了,带着袋子装分来了
#4
完整的源代码是什么啊?
#5
GhostTZS
你好!这个程序你会做吗?会的话+Q:229967142 有酬金!
你好!这个程序你会做吗?会的话+Q:229967142 有酬金!
#6
以上 VB code既是程序核心代码,稍加修改即可成型
#7
该回复于2012-06-18 09:22:25被版主删除
#8
请问怎么做到呢?
#1
样本附件地址:http://download.csdn.net/detail/GhostTZS/3676796
解压密码:test123
解压密码:test123
#2
自己搞定,其实很简单。。。
Private Sub Command1_Click()
Dim w
Dim s As New SHDocVw.ShellWindows
For Each w In s
If InStr(w.LocationURL, "baidu.com") > 0 Then
w.Navigate ("www.google.cn")
End If
Next
End Sub
#3
轻轻的我来了,带着袋子装分来了
#4
完整的源代码是什么啊?
#5
GhostTZS
你好!这个程序你会做吗?会的话+Q:229967142 有酬金!
你好!这个程序你会做吗?会的话+Q:229967142 有酬金!
#6
以上 VB code既是程序核心代码,稍加修改即可成型
#7
该回复于2012-06-18 09:22:25被版主删除
#8
请问怎么做到呢?