注:“暴风一号”源代码我是在网上下载的,如果哪里说错了请大家提出来,毕竟我还是个小白。谢谢。

一.“暴风一号”之更改计算机类标识

代码部分:

Sub SetMyComputerAss(sFilePath)
On Error Resume Next
Dim Value1,Value2
Value1="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OMC "
Value2="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" EMC "
Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\", "", "REG_SZ")
Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\", Value1, "REG_EXPAND_SZ")
Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\", Value2, "REG_EXPAND_SZ")
End Sub

当时,我看到这段代码的时候只知道很明显对注册表进行了操作,但对于HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}我并没有理解,便学习了一下:

1.类标识符CLSID

CLSID也被称为CLASSID,就是唯一标识符,就像身份证号码一样,可以轻易的更改它跳转的位置。上面代码中{20D04FE0-3AEA-1069-A2D8-08002B30309D}就是“我的电脑”的标识符,常用的标识符有:

我的电脑 {20D04FE0-3AEA-1069-A2D8-08002B30309D}
我的文档 {450D8FBA-AD25-11D0-98A8-0800361B1103}
拨号网络 {992CFFA0-F557-101A-88EC-00DD010CCC48}
控制面板 {21EC2020-3AEA-1069-A2DD-08002B30309D}
计划任务 {D6277990-4C6A-11CF-8D87-00AA0060F5BF}
打印机 {2227A280-3AEA-1069-A2DE-08002B30309D}
记事本 {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}
网络邻居 {208D2C60-3AEA-1069-A2D7-08002B30309D}
回收站 {645FF040-5081-101B-9F08-00AA002F954E}

2."REG_SZ"与"REG_EXPAND_SZ"

"REG_SZ"与"REG_EXPAND_SZ"是注册表的两种数据类型,网上也有很多介绍,其具体的说明我在这里也展示出来:

REG_BINARY = 3    ‘0~多个字节  可以包含任何数据的二进制对象REG_COLOR_RGB = *  ’4字节 颜色描述REG_DWORD = 4       ‘4字节 DWORD值REG_DWORD_BIG_ENDIAN = 5         ’4字节 一个DWORD值的逆序存储形式REG_DWORD_LITTLE_ENDIAN = 4      ‘4字节   DWORD值REG_EXPAND_SZ = 2            ’0~多个字节 包含环境变量占位符的字符串REG_FILE_NAME = *         ‘0~多个字节 文件名REG_FILE_TIME = *             ’未知 文件时间REG_FULL_RESOURCE_DESCRIPTOR = 9             ‘未知 硬件资源列表REG_LINK  = 6         ’0~多个字节 命名一个符号链接(symbolic link)的Unicode串REG_MULTI_SZ = 7     ‘0~多个字节   以null字符分隔的字符串集合,集合中的最后一个字符串以两个null字符结尾REG_NONE    = 0   ’未知 REG_NONE类型的对象无须分类,它与REG_UNKNOWN类型不同REG_RESOURCE_LIST = 8      ‘未知  设备使用的资源列表REG_RESOURCE_REQUIREMENTS_LIST  = 10  ’未知  驱动程序要求的资源列表REG_SZ  = 1   ‘0~多个字节 以一个null字符线的字符串REG_UNKNOWN = (未定义)  '未知因为数据类型索引无效而无法确定的对象类型

二.“暴风一号”之病毒加载至svchost.exe

代码部分如下(只是一小部分,源代码很多):

Case "run"
RunPath=Left(WScript.ScriptFullName, 2)
Call Run(RunPath)
Call InvadeSystem(VirusLoad,VirusAss)
Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)
Case "txt", "log","ini" ,"inf"
RunPath="%SystemRoot%\system32\NOTEPAD.EXE "&Param
Call Run(RunPath)
Call InvadeSystem(VirusLoad,VirusAss)
Call Run("%SystemRoot%\system\svchost.exe "&VirusLoad)

虽然我之前完全不了解VB方面的知识,但是我也能看出来当点击这些类型文件后一定对svchost.exe做了什么手脚,于是我运行病毒,发现电脑会异常的卡顿,打开任务管理器,便看到许许多多的svchost.exe导致电脑CPU直接到达了100%(我猜是它导致的),如下图:

好吧,其实我想谁都能看出来有问题,我也一样,于是上网上找了一下怎么确定是不是病毒引出的。

然后我使用的是“tasklist /svc”命令,因为“tasklist /svc”命令可以显示出每个进程中的服务,而且一定会显示正常svchost.exe的服务,所以我也尝试了一下如下图:

然后运行cmd.exe,输入wmic。在窗口中输入“process”就可以快速查看所有svchost.exe进程的路径,不仅如此,还可以看出哪些程序在使用这个进程。如下图所示:

的确暴风一号病毒会在下面生成smss.ex.vbs文件,这个我也在研究出得到了证实,所以说暴风一号会使用自己生成的vbs文件来加载svchost.exe。

好啦,我也只研究到这里,如果我有新的研究,我会继续写的。

“暴风一号”学习日记(一)相关推荐

  1. 蜗牛学院8月6号学习日记

    部分资料摘抄于百度百科.以及课程MD笔记 OSI参考模型吧网络分为7层: TCP/IP 四层模型 1物理层:将数据转换为可通过物理介质传递的电信号. 网络接口层:对应OSI物理层和数据链路层 2.数据 ...

  2. 微信开发学习日记(一):快速阅读5本书,掌握整体背景

    2015年1月开始学习微信开发. 已经有多年开发经验了,从网上文章来看,微信开发主要是接口,然后是业务逻辑,不是很难.所以,我比较强调学习效率.一天学一点,是不能满足我的快速学习欲望的.       ...

  3. 十五的学习日记20160926-你不知道的JS笔记/

    十五的学习日记20160926 JavaScript 一个用于检测正负值的函数,可以用它辨别-0值. 我觉得挺好用,以后可以写到自己的工具库里. //函数:检查传入参数是否为正数.Number=> ...

  4. oracle工作日记,Oracle学习日记【4】

    1.查询所返回的列数以及列的类型必须匹配,列名可以不同. 2.只有UNION ALL不会去重.其他三个都需要排序后去重,性能比较差. 2.连接查询 2.1.内连接(INNER JOIN):INNER可 ...

  5. OGRE+CG学习日记[1]-简单的3D程序

    OGRE+CG学习日记[1]-简单的3D程序 终于有时间开始研究OGRE和CG这些3D技术方面的东西了 先对今天的成果进行一下简单介绍 ­ 创建一个OGRE窗口,在里面放入一个怪兽头模型 ­ 写一个输 ...

  6. 210学习日记(18)_ARM基础知识

    210学习日记(18) --ARM基础知识 注意: 以下大部分类容都来自网上现成的(直接拷贝过来的,然后经整理)!!!! 问1:ARM处理器工作模式有几种?各种工作模式下分别有什么特点? 答1:ARM ...

  7. 智能车学习日记【一】——让小车跑正方形赛道(摄像头图像处理赛道)

    智能车学习日记[一]--让小车跑正方形赛道 目录 开篇 舵机 赛道图像处理 图像处理 代码![在这里插入图片描述](https://img-blog.csdnimg.cn/9ec0eb76bd8941 ...

  8. Activity学习日记(一)

                                Activity学习日记(一) 学习目标 android的发展历史,以及android和java的关系 掌握android开发环境搭建 创建第一 ...

  9. 正则表达式学习日记_《学习正则表达式》笔记_Mr_Ouyang

    正则表达式学习日记_<学习正则表达式>笔记_Mr_Ouyang 所属分类: 正则表达式学习日记  书名:     学习正则表达式 作者:     Michael Fitzgerald 译者 ...

  10. python学习日记2-3周

    python学习日记2-3周 怠惰怠惰 improt 导入 import phone.apple.iphone6 import phone.apple.iphone7 import phone.sam ...

最新文章

  1. Science:微生物组“淘金热”,从人体中发现新型抗菌剂
  2. 新工具一键安装Java环境!微软又双叒叕造福开发者
  3. 简单的基于YCrCb颜色空间的人脸检测(肤色)
  4. Android开发面试题之遍历ViewGroup拿到所有的ViewGroup和View的id
  5. 运筹学上机实验 - 单纯形方法的两阶段法
  6. C++ vector容器类型
  7. c语言读取nc文件格式,nc文件资料地读取与处理.doc
  8. 【Linux使用】Centos 7设置时区与时钟(chrony / ntp /systemd)
  9. kwmpro音乐转换器序列号_ncm pro下载_ncm pro音乐转换器下载_3DM单机
  10. 《推荐系统笔记(七)》因子分解机(FM)和它的推广(FFM、DeepFM)
  11. Vue前端验证一个text只能输入手机号或邮箱
  12. matlab 水滴落水图,canvas 水滴图、液体进度条、仿加速球、圆球水波图
  13. 电脑删除文件找不到该项目怎么解决
  14. 安全态势感知系统java_代码分析平台CodeQL学习手记(十三) - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...
  15. CMMI认证等级应该怎么选
  16. 【基金学习】基金的相关计算题目
  17. python5 5的 阵列_Biopython表型微阵列
  18. python36.dll下载_DWSPY36.dll,下载,简介,描述,修复,等相关问题一站搞定_DLL之家
  19. R语言,来模拟LCT
  20. 标题:2017-2018-20172309《程序设计与数据结构》课程总结

热门文章

  1. Linux 操作命令大全
  2. 台式计算机没有usb3.0,新装的win7没有usb驱动完美解决方法(支持usb3.0/usb3.1)
  3. python3安装cv2 安装opencv 2019发布
  4. CMMI认证适用的行业范围
  5. mysql创建图书馆书库表格,mysql图书馆管理系统的数据库
  6. unity功能开发——好友系统
  7. Word中公式编辑倒V和横线加法
  8. SqlServer导入Excel文件数据
  9. sql server 性能优化
  10. 联想Y9000P安装Ubuntu20.04记录