grok4.1压缩包有病毒吗

哈喽哈喽，有声音吗？啊，大家好啊，我们这期讲一下压缩包病毒，这个压缩包病毒呢就是近两年来呢一直比较泛滥啊 啊，就是说比如说微信上， qq 上，还有一些个呃社交平台，还有一些个呃客户，呃接待系统啊，他会有陌生人或者是伪装的那种客户啊，来给你发送一个压缩包，然后呢引用你呢去点开，点开之后呢你的杀毒软件呢？一一般情况下是不会爆毒的 啊，然后呢就会在你电脑上装上木啊，然后做一些坏事，然后我们最近呢我就遇到了几个客户啊，他们每个接每个人接收的压缩包的名字都不一样，然后呢我这鼠标离的有点远，今天为了做视频这个鼠标啊，换了台电脑，离的这个 网卡里的边缘，然后那个我说正题啊，这几个压缩包呢，是我从客客户电脑上拷贝过来做一些实验的，我们就是用一些最最基本最基本的一些个分析方式，今天来剖析一下这剖析一下这个木马的一个构造啊，很简单，就用记事本就完了 这个记事本，这个不要小看这个记事本啊，记事本是最古老的一种编程的工具，对，他可以写网页，可以写软件啊，很好很好，但是因为这个东西写编写的时候他他妈太繁琐了，所以说后来又出现了什么，这玩了太深了，这就不惜说了，我们今天用记事本剖析一下这个软件啊，我们先分析，随便分析一个吧，比如说这个 一查报告，这个应该是近两天啊，近两天？六月十二号啊，昨天，昨天，然后剖析一下他，嗯，这个多大呀？八十二 kb， 非常小啊，这个孤单非常小，一般小的这个木马呢，相对来说他都是不是有一个组成的？ 他是有一个，现在你电脑上下载一个开通 mtp， 或者说开，嗯，装一个母体母马，然后释放很多子体，子体可能比母体更大，然后来更多功能的更准点。电脑。然后咱们我们看一下这个代码，这文件表明咱就不看了，这是任何一个 s e 都有这个，这个前端是吧？前部代码文件表头都差不多。然后我们主要是找些有用的，你看这种比较，不管是加密也好，加壳也好， 或者说十六只定制，呃，代码也好，因为咱记事本是中文的，这个中文的编译系统，所以说呢，咱翻译不过来，简单理解就是说，呃，他是啊，他是用，嗯，用这个，这个，这个怎么说呢？简单来说咱就翻译不过来吧，对吧？但是说确实有数据，这是真真实实的数据存在。然后我们看一下这些个 什么太莫三的了，这些都是一些代码的，基本上的，就是这个木马的一些基本的组成的。呃，组成的一个是要调用的东西啊，咱们说是 dsdf 都都知道这是一个系统的 动态库，所谓动态库呢，就是说这个系统他需要。呃，一个软件要执行呢，他需要有数据库啊，数据库呢？但是说不可能在电脑上装一个数据库吧？他需要一个动态数据库，就是你打开软件的时候他会执行这些个啊，动态库啊，也就说软件自己的啊，可以说是软件的一些个大脑， 这个啊，他都会执行这个，一般那个签证 d l 啊，这个系统上他他会带自带这些东西啊，比如这个就是，嗯， c 加加的一些环境啊，还有这个二零八 是吧？都有都有这些个环境包啊，调用的，这也没什么用啊，没什么，对于咱们杀毒来说真的没什么用，但是一眼就可以看出来，这个优乐三二这个，呃，这个东西肯定还有这个调用，这个，呃， wsp 这个调用这个这个什么的 vsb 脚本的这个这一看就木马了，肯定是调用了啊，这个就看这两项就知道了，他肯定是不是好程序啊，不是好程序， 然后我们再继续往下找啊，继续往下找呢，你看这有直行公路，对吧？这个这里面应该是直行啊，他只不过是翻译不过来直行公路，就把木马的给他装到这里面，对吧？装到这里面，然后呢？这还有一个几个变量，还有地盘，如果发现地盘呢，可能会，呃装到这个别的盘啊，然后呢？这有一个 ip 地址和端口啊， ip 日和段考，这个还有什么高中组、初中组性别的，我估计啊，这就是一个在安全领域的一个学校里的一个课题组，课题组呢，然后呢是让学生去研究这个，研究这个木马，做实验，做学习用的，结果就是流出来了啊，可能在这个基础上呢，商家改进，改成一些干干坏事的这个木马了啊，基本上就说这个 ip， 就这个估计也死了这 ip， 然后呢？这个这还有你看你正常学校，对吧？他有这个，你看他这有骂人的，这个学校里肯定不会有，这肯定是在，呃，在那个正版那远通啊，做实验的那个远通工具上啊，自己又改造，稍微改造，然后，而且对这个三六零特别反感，因为，嗯，我个人是比较喜欢三六零的，因为三六零他的防御木马和病毒， 我的个人应该还是还是比较强的，包括他特征代码和病毒库都是，不是应该是最强吧？我，我应该是最强的啊，然后所以说有很多这个写木马的人都会 呃，去黑三六零，去就去污蔑三六零，然后呢？这这个肯定是了，对吧，而且这是一个没素质的一个，呃，一位作者。嗯， 然后呢？啊，你的 app 名字啊，难道还有手机吗？啊，不应该吧，这些都没用的啊，这个咱们已经知道这了，已经成功一大半了，基本上就可以定位了这个木器啊，然后呢，往下分析也没啥意义了，基本就定位了，这木马没什么东西啊，说白了这个这个木马我大概分析一下，就说第一步啊，第一步把这个，哎，这个木马呢发给你， 你点，你点完之后呢？他会，他会呃调用系统 dl， 然后呢去执行，那就是说在这个 dll 这个环境包上啊，如果说你你系统是 links 或者说是苹果电脑，他不会执行这种不会执行的，因为你没有这种 dl， 是吧？他就是用调用的 dl， 说能手机只能在奔系统上。调完之后呢执行这个木马啊，安装位置，然后呢会箱子端口喝 ip 发送， ok， 然后我们换一个啊，换一个，换下一个电子发票。这个应该是六月五号，六月五号？对，这六月五号弄得，我看这相对这个文件比较大一点啊，这个是四兆啊，不到四兆是吧？一点二，四乘以三乘以四，不到四点三兆多。这个我们看一下这个，这个相对比较大，我们来大概剖析一下他，嗯， 但是核核心的东西我不能讲太多啊，这里面因为这个技术吧，好人用好人，要是说学到了是好事，坏人如果说学到之后他可能会下次伪装这病毒啊，希望大家能理解啊。这同样的表明呢？都不看了啊，前面这些都不看了， 然后呢？这个比较多，像这种比较多的，比较多的，这程序啊，我们有方法就是尽量的直接定位，他这个直接定位啊，他这个什么，比如说这个 dl es， 你看这个， 你看他这个后证明，你看他会运行啊，这这这个是比较深的。对他这个这个我有印象了，他直接是安装了一个一个安装包，而且是安装了一个远远控工具，那个远控工具非常厉害，非常有名的一家公司，然后那个那个是监控员工用的，正正规软件，监控员工用的，结果被他拿来做坏事了。 这同样是运行了很多，每天是伪装报错，这都伪装报错的一些程序，然后往下看，我们看一下啊， hs， 这都是调用电脑上的一些时间啊，需要电脑上的一些参数，是吧？这没什么东西啊，功能，然后我们再往下找看，还有吗？ 啊？也对，就安装这个安装包，对，然后呢看看用， 嗯，这个这个程序比较大，这个木马呢？呃，是一个安装 比较大的安装包，他虽然说你看他这有一个释放器，这是比较可怕的东西啊，就说这个当你去杀掉一个木马的时候呢，他会感觉上已经根除了，但是说的但是这个 un 点 ess 一般他不是，他不爆毒，他会在你杀完毒之后，在某一天他会还会释放那个就是那个安装包啊，然后继续安装。 所以说呢，这个有一点亚塞子这是比较可怕的，这所以有时候杀毒的话，你必须把这个这个释放器也清除一下，不然的话你清清除不了干净啊。好了，这个病毒 这病毒基本上就是针管做的比较高级一点，相对来说比较高级一点啊，最起码人家 ip 是吧？最起码这里面 ip 是没有，不会把 ip 都暴露出来。对，然后我们看一下下一个 这个啊，对，这个是伪装，那个因为打显卡的也是伪装，因为打显卡的一个人，这个木马相对也不大不小。这个应该是正常来说有木马客户端，应该是在三百 kb 到八百 kb， 正常来说优化这个五百多正好是一个很标准的一个客户端啊。我们来主要是着重一下，看看他，他有什么东西啊？这个因为当时找这个木马母体的时候是 非常难的，因为，嗯，他没有任何东西，因为电脑上的，我看了一下日志啊，他的就正常来说，你比如说咱们双击了一下这个，这个这个软件啊，这个木马程序，然后他会在后台执行很多日志，对吧？都会执行，但是这个呢？他在日志里看不出来，我以为是没有，没事，我以为是他的电脑上的环境不允许这木马，结果不是那么回事啊，这木马做的非常的不仅是免杀，而且重要的是他这个日志都没有，这点很恐怖啊。 但是呢，但是呢，我还是找到了他，我一我经过了一个变量呢，我看到他有一个变量，就是，呃，在这了，就这 ctrl rot， 然后 ctr 三二啊，然后呢，它呢？这是一个系统文件的一个主要是系统文件的一个一个目录啊，而且呢，我一看，他他他他放在这，一般木马轻易不会放在这个 啊，一般木马轻易不会放在这个目录，因为你没有权限啊，一般直升不动啊，所以说呢，哎，恰巧人家这个木马能能把这个木马放在这个目录也是非常牛逼的，结果被我找到了剩，而且呢 ip 地址呢，还 断口了，就看见了，所以说这对这些作者来说，我说我只能说很抱歉啊，你这 ip 我又给你找到了，并且没有给你打码啊，但是你我还是像你说说，你这个开发这个码还是相当牛逼的，我很佩服啊。然后呢，这个没什么可说的了，然后呢， 我这个地方都是这么多，是因为我鼠标，鼠标这个离得主机太远了，为了做这些视频，我啊，我离得这个主机比较远，然后呢，就就说那么多吧，啊，对，然后咱们说下重点啊，就说这个我用打字吧，这个一定，大家一定要牢记啊，就是就陌生人啊，陌生陌生 陌生人啊，给你发的压缩包，一定啊，打开后啊，千万，如果，如果里面是显示器程序，程序千万别点， 点了会怎么样？点了就说你，点了就说你的电脑就完全权限就给别人了，就好比点了之后你的家整个房子钥匙都给人家了，对吧，人家随时可以控制你的电脑上一切数据啊。 然后呢，这个而且呢，就说如果熟，如果熟人熟，熟人啊，熟人，老客户啊啊，发过来的压缩包里面是 ese， 也不要点，因为因为这种这种木马多半就是 趁着你不注意的时候啊，就是在你在，在你感染木马以后，趁趁你不注意的时候，给你打开你电脑段微信，给你好友疯狂 啊，对，所以说这个呢，有时候呢，你觉得是你发的，你觉得是好朋友发的，结果不是啊，可能这时候你的朋友已经被派克呢所攻击。然后呢第二呢就是说那个 微信吧，你的微信啊，尽量别自动下载程序啊，来自动下载文件啊，就是可以微信电脑电脑啊，电脑微信客户端 啊，电脑微信设置应该是有个文件接收吧，文件接收里面关闭自动下载啊。然后第三呢就是说这个，嗯，类类类，类似这种压缩包呢，还有里面有 cmd 后座 啊，还有还有其他后个，比如这个 c m d 的， s s l 的啊，叉 l m 叉 l s m 的，还有这个 v b s a b s 啊，还有这个啊， c m d 还有什么？还有那什么来，忘了那什么，哎，有挺多的，那个 c m d 还有什么啊？ but， 嗯，太多了，就大概这几种常见啊，然后呢就这几种呢？然后就说别点啊，点了之后别好奇。嗯 啊，点了之后就基本上人家这种木马呢，首先开发的时候就是奔着免杀去的，就是奔着这个杀毒软件杀不防不住他，所以才才这么敢大胆的去去这个发送给你们，不然话是不是发送不了，那都能赶紧 觉得他发这个没有意义，多浪费是不是？我看想想其他的，就是因为这个吧，我也不能说太多。呃，核心东西不能说太多啊，所以说呢，这期呢，我们就是第一期啊，就大概讲一些简单的东西吧。啊，然后呢，如果觉得好的话呢，我后期会跟进，对吧？如果说觉得不好呢，咱就不更新了，对吧？因为这些东西嘛，对我首先对我没有任何好处，跟我就公布一些这个，这方面技术没什么好处啊，对我来说啊，只能说给大家， 给一些企业啊，给一些个个人啊，带一些个防御的，一些基本的一个东西啊，所以说呢， ok， 这期就就先说这么多，说的不好，大家也多多包涵，毕竟每个人的技术和思路也不一样。所以说呢，我们啊，行，我们这期就讲这么多吧，然后再见。