更详细的报告见360的分析:http://bobao.360.cn/learning/detail/3453.html
,
注:好坑爹,截了一堆图,貌似太多,传不上去.....
只能放文字了. .
一、获取系统版本信息
1,,,通过GetFIleVersionInfoSizeW (), GetFileVersionInfo (), VerQueryValuew()配合使用
获取文件属性的信息。主要由VerQueryValuew()第二个人参数设置取出
关于第二个参数:
样本所指定参数为“//?/p>
所以取出VS_FIXEDFILEINFO结构
二,获取卷标信息,保存备以后作为加密秘钥使用
通过GetVolumeInfomationw
三,GetProAddress()获取RtlComputeCrc32和memset, memcpy三个函数的地址
四,获取命令行,判断是否携带“/u”启动,判断是否创建互斥量,如果存在则结束。如果不存在则创建
五,如果带参数/u 启动则执行系列工作
1利用wmic删除卷副影像,禁用开机自动修复
命令解释:
cmd。exe/c vssadmin。exe删除阴影/所有/安静的
以上命令执行后系统所有还原点清除
bcdedit。exe/集{“,“默认}recoveryenabled没有
bcdedit。exe/设置默认{}bootstatuspolicy ignoreallfailures \“
以上命令禁止开机启动修复
2只;删除注册表键值IsShortcut,使普通应用程序和数据文件快捷方式的小箭头不显示
IsShortcut使用说明
六,CreateStreamOnHGlobal函数从指定内存创建流对象。创建成功后获取驱动器个数,遍历驱动器
使用GetLogicalDrives(),获取系统存在的逻辑盘符,这个结构中的二进制位标志着存在哪些驱动器。
其中,0位设为1表示驱动器:存在于系统中;位1设为1表示存在B:驱动器;以次类推。
GetDriveTypew()获取逻辑盘类型,下图为类型说明。
获取得到的驱动器类型作为下一个函数的第二个参数传入
判断如果驱动器类型值为2或3则进行下一步操作,即移动存储硬盘和不可移动存储介质。
七,过滤目录和指定文件夹
指定过滤的文件夹的窗户,在总结文件,程序文件(x86),游戏
八,过滤需要加密的文件类型
涉及的文件格式有22种
九,CryptAcquireContextW()获取csp容器,全局存放地址;405 eb0,获取成功则解密一个关键:00405 ea8
并导入了解密的关键
十,加密文件
十一,通过删除:区。标识符文件,清理网络第三方下载的元数据标记。防止被系统不信任文件作出警告。
,
遍历磁盘文件
利用硬盘序列号计算CRC32值
获取卷盘序列号
生成系统文件夹快捷方式
/c探险家。exe \“% s \“;,类型\“% s \“;比;\“% % % % \ \ % s \ tmp“;,开始\“% s \“;\“% % % % \ \ % s \ tmp““
利用WNetOpenEnumW, WNetEnumResourcew横向移动。遍历网络资源。
使用SHChangeNotiy通知系统更新文件关联信息。
退出程序
<人力资源调整=爸行摹??”“100%”/> http://blog.csdn.net/wowolook/article/details/8263001
WINSHELLAPI空白WINAPI SHChangeNotify (
长wEventID,//指定事件类型
使用UINT uFlags,//确定dwItem1和dwItem2作的标志
LPCVOID dwItem1,
LPCVOID dwItem2
);
1。wEventId的取值如下:
SHCNE_ASSOCCHANGED:修改文件关联
SHCNE_ATTRIBUTES:改变文件属性
SHCNE_CREATE:创建新文件
SHCNE_DELETE:删除文件
SHCNE_DRIVEADD:增加网络驱动器
SHCNE_DRIVEADDGUI:通过GUI增加网络驱动器
SHCNE_DRIVEREMOVED:卸载网络驱动器
SHCNE_INTERRUPT:将事件作为系统中断执行。
SHCNE_MEDIAINSERTED:安装可卸载媒体,如cd - rom
SHCNE_MEDIAREMOVED:卸载可卸载媒体,如cd - rom
SHCNE_MKDIR:新建目录
SHCNE_NETSHARE:网络上共享资源
SHCNE_NETUNSHARE:网络上停止共享资源
SHCNE_RENAMEFOLDER:文件夹改名
SHCNE_RENAMEITEM:文件夹中某项改名
SHCNE_RMDIR:删除目录
SHCNE_SERVERDISCONNECT:与网络服务器断开链接
SHCNE_UPDATEDIR:更新目录信息
SHCNE_UPDATEIMAGE:改变系统全局图像列表中的一个图像
SHCNE_UPDATEITEM:改变打印机或文件的列表
3。该函数没有返回值。
2。uFlags的取值如下:
