Malware.Win32.KillLogon分析及解决方案-病毒防治-学习资源,学习图书,电子图书-教学资源-e时空

当前位置：主页 - 电脑 - 信息安全 - 病毒防治

Malware.Win32.KillLogon分析及解决方案

来源：网络作者：更新时间：2012-08-08

【收藏此页】【字号大中小】【打印】【关闭】

　　该程序执行后先删除administrators、users组的SeInteractiveLogonRight（本地或交互式登陆特权），然后在删当前用户的，删完后交互式登陆无法进行验证，导致用户无法从本地登陆计算机系统。分析如下：

　　004010B0　　　　 /$ 83EC 34　　　　sub esp,34

　　004010B3　　　　 |. B9 06000000　　 mov ecx,6

　　004010B8　　　　 |. 33C0　　　　　xor eax,eax

　　004010BA　　　　 |. 56　　　　　 push esi

　　004010BB　　　　 |. 57　　　　　 push edi

　　004010BC　　　　 |. 8D7C24 24　　　lea edi,dword ptr ss:[esp+24]

　　004010C0　　　　 |. F3:AB　　　　 rep stos dword ptr es:[edi]

　　004010C2　　　　 |. 8D4424 08　　　lea eax,dword ptr ss:[esp+8]

　　004010C6　　　　 |. 8D4C24 24　　　lea ecx,dword ptr ss:[esp+24]

　　004010CA　　　　 |. 50　　　　　 push eax

　　004010CB　　　　 |. 68 000000E0　　 push E0000000

　　004010D0　　　　 |. 51　　　　　 push ecx

　　004010D1　　　　 |. 6A 00　　　　 push 0

　　004010D3　　　　 |. E8 E4000000　　 call <jmp.&ADVAPI32.LsaOpenPolicy>

　　004010D8　　　　 |. 85C0　　　　　test eax,eax

　　004010DA　　　　 |. 0F85 9F000000　　jnz test.0040117F

　　004010E0　　　　 |. 6A 64　　　　 push 64

　　004010E2　　　　 |. C74424 14 F40100>mov dword ptr ss:[esp+14],1F4

　　004010EA　　　　 |. E8 DE000000　　 call test.004011CD

　　004010EF　　　　 |. 83C4 04　　　　add esp,4

其它资源

本类热门

热门排行

来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考，本站不主张将其做为决策的依据，浏览者可自愿选择采信与否，本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络，其版权为原权利人所有。由于来源之故，有的文章未能获得作者姓名，署“未知”或“佚名”。对于这些文章，有知悉作者姓名的请告知本站，以便及时署名。如果作者要求删除，我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创，本站拥有所有权利。
4、如对本站发布的信息有异议，请联系我们，经本站确认后，将在三个工作日内做出修改或删除处理。
请参阅权责声明！