收藏本站
 ★立即注册★

QQ登录

只需一步,快速开始

就爱江湖-应用库-技术分享资源网-Www.92Jh.Cn

就爱江湖-应用库-技术分享资源网-Www.92Jh.Cn»网站首页 【 资源共享 】 『视频教程』 Synaptics Pointing蠕虫木马防中招和提取无木马文件分析
12345678910... 11下一页
返回列表 发新帖
查看: 11647|回复: 102

[原创教程] Synaptics Pointing蠕虫木马防中招和提取无木马文件分析

  [复制链接]
发表于 2019-9-27 15:24:47 | 显示全部楼层
《Synaptics Pointing Device Driver》

Synaptics是一个蠕虫木马,具有感染性。木马运行后显示一个隐藏工具,会复制自身至C:\ProgramData\Synaptics目录,在设置注册表自启动。之后创建两个线程。

相信很多小伙伴都中招了,我尝试过用QQ管家和QQ管家急救箱,360急救箱,全盘或者强力模式都对已经感染的文件不能查杀和修复,结果都是无果。
Synaptics Pointing蠕虫木马防中招和提取无木马文件分析图片ID:2691
Synaptics Pointing蠕虫木马防中招和提取无木马文件分析图片ID:7930
下面我教下大家如何对已经被捆绑了Synaptics蠕虫木马的软件去除和提取 并如何查自己哪些常用软件是中了此木马。

查哪些软件中了此木马比较简单,右键对软件属性,即可看到描述是Synaptics Pointing Device Driver,详细信息也是此描述,基本就是被捆绑了这个木马。
Synaptics Pointing蠕虫木马防中招和提取无木马文件分析图片ID:3713 Synaptics Pointing蠕虫木马防中招和提取无木马文件分析图片ID:8946
拖进OD看看 我这个是一个易语言编译的无壳程序,懂点OD的应该也发现,易语言的OEP并不是这样,被捆绑了木马的OEP变成了这样,并下面有Synaptics的字符串,

已经确实这个软件已经被感染了,下面演示,怎么不运行,把没中木马的文件提取出来,方法比较简单,把中了这个蠕虫木马软件载入到OD里,


用论坛发的PE提取工具提取一下即可。如果之前电脑已经运行过这个蠕虫木马的程序,打开任务管理器,会有一个进程《Synaptics.exe》先结束掉此进程,


然后删除C:\ProgramData\Synaptics目录即可,目录是隐藏的,请打开系统的显示文件隐藏功能,然后你打开没有被捆绑Synaptics木马的软件,

就不会被感染了,如果不清除,您的电脑里的软件只要打开一次都会被感染。这里我打开一下被感染的,然后去运行以下没有被感染的看看,没有被感染,

另外其实被感染的软件打开后他会释放原来的没被感染的文件,._cache_XXXX开头的释放原来的没被感染的文件,就是只是被隐藏了起来,

这里剩下的就自己去研究下吧,感谢观看。

视频教程下载:
游客,如果您要查看本帖隐藏内容请回复


synaptics, point, 蠕虫, 中招, 提取

评分

参与人数 1+1 就爱币 +1 收起 理由
670246038 + 1 + 1 欢迎分析讨论交流,就爱江湖论坛有你更精彩.

查看全部评分


上一篇:北风网Python零基础人工智能就业课程30G视频教程分享
下一篇:《和平精英》堵桥技巧攻略 和平精英怎么堵桥

相关帖子

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案,如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子回复【已解决】。

回复

使用道具 举报

发表于 2020-4-19 21:03:48 | 显示全部楼层
用论坛发的PE提取工具提取一下即可。如果之前电脑已经运行过这个蠕虫木马的程序,打开任务管理器,会有一个进程《Synaptics.exe》先结束掉此进程,


然后删除C:\ProgramData\Synaptics目录即可,目录是隐藏的,请打开系统的显示文件隐藏功能,然后你打开没有被捆绑Synaptics木马的软件,

就不会被感染了,如果不清除,您的电脑里的软件只要打开一次都会被感染。这里我打开一下被感染的,然后去运行以下没有被感染的看看,没有被感染,

另外其实被感染的软件打开后他会释放原来的没被感染的文件,._cache_XXXX
回复 支持 反对

使用道具 举报

Smile
发表于 2019-11-11 11:27:02 | 显示全部楼层
了,如果不清除,您的电脑里的软件只要打开一次都会被感染。这里我打开一下被感染的,然后去运行以下没有被感染的看看,没有被感染,

另外其实被感染的软件打开后他会释放原来的没被感染的文件,._cache_XXXX开头的释放原来的没被感染的文件,就是只是被隐藏了起来,

这里剩下的就自己去研究下吧,感谢观看。
回复 支持 反对

使用道具 举报

残烨
发表于 2020-1-28 04:14:07 | 显示全部楼层
,您的电脑里的软件只要打开一次都会被感染。这里我打开一下被感染的,然后去运行以下没有被感染的看看,没有被感染,

另外其实被感染的软件打开后他会释放原来的没被感染的文件,._cache_XXXX开头的释放原来的没被感染的文件,就是只是被隐藏了起来,
回复 支持 反对

使用道具 举报

发表于 2019-9-27 16:00:30 | 显示全部楼层
老大牛的批
回复 支持 反对

使用道具 举报

发表于 2019-9-27 19:03:20 | 显示全部楼层
11111111111111111122222222
回复 支持 反对

使用道具 举报

发表于 2019-9-28 12:19:35 | 显示全部楼层
dw带我去多哇群多无群多无群
回复 支持 反对

使用道具 举报

bfeng
发表于 2019-10-9 10:36:07 | 显示全部楼层
学习一下感谢分享
回复 支持 反对

使用道具 举报

暧昧
发表于 2019-10-9 18:29:54 | 显示全部楼层
谢谢老大分享
回复 支持 反对

使用道具 举报

发表于 2019-10-10 13:07:12 | 显示全部楼层
谢谢分享!!!!@!!!~
回复

使用道具 举报

发表于 2019-10-12 09:06:59 | 显示全部楼层
我电脑也中了这玩意 怎么清除啊
回复 支持 反对

使用道具 举报

wesdwe
发表于 2019-10-12 14:23:51 | 显示全部楼层
文件夹隐藏显示不出来啊,强制隐藏的怎么弄
回复 支持 反对

使用道具 举报

wesdwe
发表于 2019-10-12 14:26:21 | 显示全部楼层
wesdwe 发表于 2019-10-12 14:23
文件夹隐藏显示不出来啊,强制隐藏的怎么弄

WIN10设置了显示隐藏文件夹这些,但是显示不出来
回复 支持 反对

使用道具 举报

下一页 »
12345678910... 11下一页
返回列表 发新帖
游客
回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | ★立即注册★

免责声明
就爱江湖所发布的一切软件逆向解密分析文章及视频、破解补丁、注册机和注册信息,仅限用于学习和研究目的。不得将上述内容用于商业或者非法途径!否则,一切后果请用户自负!
本站信息来自互联网,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请购买注册正版软件,获得正版优质服务!
如有侵权请邮件或QQ与我们联系处理。

联系QQ:2710763
邮箱:2710763@qq.com

手机版|小黑屋| 就爱江湖资源分享网 |网站地图 |粤公网安备44180302000217号 | 粤ICP备2025451632号

GMT+8, 2025-9-9 18:23

Powered by Discuz!

© 2001-2020 Comsenz Inc.

快速回复 返回顶部 返回列表