• :
  • 火眼貌似漏了什么-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    火眼貌似漏了什么

    [复制链接]

    该用户从未签到

    发表于 2012-9-5 15:25:51 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    本帖最后由 朦胧淡月 于 2012-9-5 15:29 编辑

    文件地址http://pan.baidu.com/share/link?shareid=25888&uk=956754476
    金山貌似报毒,先不谈文件正常与否,上火眼
    http://fireeye.ijinshan.com/analyse.html?md5=f9d74275ddda87aaac49087d9eb30bf5&type=1#full


    。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
    以下为监控
        dpclat.exe,    3184:0,    3184,    EXEC_create,    C:\Documents and Settings\Administrator\桌面\简听音乐播放器_20120106_V3\dpclat.exe,    parent_pid:2192 cmdline:'"C:\Documents and Settings\Administrator\桌面\简听音乐播放器_20120106_V3\dpclat.exe"' image_base:0x00400000 image_size:0x0004A000 ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    REG_openkey,    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings,    access:0x0002001F ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    REG_getval,    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\Anchor Color,    type:0x00000001 datalen:16 data:'30 00 2C 00 30 00 2C 00 32 00 35 00 35 00 00 00 ' ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    REG_getval,    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\Anchor Color,    type:0x00000001 datalen:16 data:'30 00 2C 00 30 00 2C 00 32 00 35 00 35 00 00 00 ' ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    REG_getval,    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\Anchor Color Visited,    type:0x00000001 datalen:20 data:'31 00 32 00 38 00 2C 00 30 00 2C 00 31 00 32 00 ' ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    REG_getval,    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\Anchor Color Visited,    type:0x00000001 datalen:20 data:'31 00 32 00 38 00 2C 00 30 00 2C 00 31 00 32 00 ' ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    FILE_open,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    access:0x00010080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 opti**:0x00200040 ,    0xC0000034 [系统找不到指定的文件。  ],   
        dpclat.exe,    3184:2044,    3184,    FILE_touch,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    access:0x00120196 alloc_size:0 attrib:0x00000080 share_access:0x00000003 disposition:0x00000005 opti**:0x00000060 ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    FILE_truncate,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    eof:0x00000000 ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    FILE_write,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    offset:0x00000000 datalen:0x00004000 ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    FILE_modified,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    BA_extract_pe,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    SYS_regsrv,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    access:0x000F01FF type:0x00000001 start_type:0x00000003 srvname:'dpclat_driver' ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    BA_ulterior_exec,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    SYS_load_kmod,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    BA_ulterior_exec,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    FILE_open,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    access:0x00010080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 opti**:0x00200040 ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    FILE_remove,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    ,    0x00000000 [操作成功完成。  ],   

        dpclat.exe,    3184:2044,    3184,    SYS_opendev,    \Device\dpclat_static_device,    devtype:33143 access:0xC0100080 share:0x00000003 ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    W32_findwnd,    ,    parent_hwnd:0x00000000 child_hwnd:0x00000000 clsname:'Shell_TrayWnd' wndname:'' ,    0x00030052 [],   
        dpclat.exe,    3184:0,    3184,    EXEC_module_load,    C:\Program Files\Internet Download Manager\idmmkb.dll,    base:0x10000000 size:0x00007000 ,    0x00000000 [操作成功完成。  ],   
        dpclat.exe,    3184:2044,    3184,    W32_findwnd,    ,    parent_hwnd:0x00000000 child_hwnd:0x00000000 clsname:'CicLoaderWndClass' wndname:'' ,    0x000100C4 [],   
        dpclat.exe,    3184:2044,    3184,    W32_postmsg,    C:\WINDOWS\Explorer.EXE,    target_pid:152 hwnd:0x000100D4 msg:0x0000C0B0 wparam:0x000007FC lparam:0x00000028 ,    0x00000001 [],   
        dpclat.exe,    3184:2044,    3184,    W32_postmsg,    C:\WINDOWS\Explorer.EXE,    target_pid:152 hwnd:0x000100D4 msg:0x0000C0B0 wparam:0x000007FC lparam:0x00000028 ,    0x00000001 [],   
        dpclat.exe,    3184:2044,    3184,    W32_findwnd,    ,    parent_hwnd:0x00000000 child_hwnd:0x00000000 clsname:'CicLoaderWndClass' wndname:'' ,    0x000100C4 [],   
        dpclat.exe,    3184:2044,    3184,    W32_postmsg,    C:\WINDOWS\Explorer.EXE,    target_pid:152 hwnd:0x000100D4 msg:0x0000C0B0 wparam:0x000007FC lparam:0x00000028 ,    0x00000001 [],   
        dpclat.exe,    3184:2044,    3184,    W32_postmsg,    C:\WINDOWS\Explorer.EXE,    target_pid:152 hwnd:0x000100D4 msg:0x0000C0B0 wparam:0x000007FC lparam:0x00000028 ,    0x00000001 [],   
        dpclat.exe,    3184:2044,    3184,    W32_findwnd,    ,    parent_hwnd:0x00000000 child_hwnd:0x00000000 clsname:'CicLoaderWndClass' wndname:'' ,    0x000100C4 [],   
        dpclat.exe,    3184:2044,    3184,    W32_postmsg,    C:\WINDOWS\Explorer.EXE,    target_pid:152 hwnd:0x000100D4 msg:0x0000C0B0 wparam:0x000007FC lparam:0x00000028 ,    0x00000001 [],   
        dpclat.exe,    3184:2044,    3184,    W32_postmsg,    C:\WINDOWS\Explorer.EXE,    target_pid:152 hwnd:0x000100D4 msg:0x0000C0B0 wparam:0x000007FC lparam:0x00000028 ,    0x00000001 [],   
        dpclat.exe,    3184:2044,    3184,    FILE_open,    C:\WINDOWS\system32\drivers\dpclat_driver.sys,    access:0x00010080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 opti**:0x00200040 ,    0xC0000034 [系统找不到指定的文件。  ],   
        dpclat.exe,    3184:0,    3184,    EXEC_destroy,    C:\Documents and Settings\Administrator\桌面\简听音乐播放器_20120106_V3\dpclat.exe,    parent_pid:2192 cmdline:'"C:\Documents and Settings\Administrator\桌面\简听音乐播放器_20120106_V3\dpclat.exe"' ,    0x00000000 [操作成功完成。  ],   



    比较乱,大概找了下为止,蓝色字体位置应该有个加驱吧?对比下火眼,貌似行为有点出入?
    如果发错区了麻烦版主移动

    点评

    楼主好,请再看下报告: http://fireeye.ijinshan.com/analyse.html?md5=f9d74275ddda87aaac49087d9eb30bf5&type=1#full  发表于 2012-9-5 16:19
    使用道具 举报 回复
    楼主,您好!
    感谢您帮我们发现问题并提出来,这个样本释放驱动并加载的操作确实漏掉了,现在的报告已经包含了您提到的点:
    http://fireeye.ijinshan.com/anal ... bf5&type=1#full
    如果发现其他问题您可以直接再论坛或群里反馈,我们会及时跟进,再次感谢您的支持。
    使用道具 举报 回复 支持 反对
    关注一下
    使用道具 举报 回复 支持 反对
    确实是漏了点什么。九块邮  新百伦
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则