暴力强制QQ视频软件

发布网友发布时间：2022-04-27 00:49

共1个回答

热心网友时间：2022-06-21 23:20

用卡巴杀了毒，木有报警。从文件名上来判断，远程视频嗅探器.exe是主执行文件，Camera.dll可以看作是和摄像头有关的一些函数封装，netdrv.dll可以看作是网络驱动有关的函数封装。首先分析这三个Dll 文件，通过ExeScope查看导出函数列表，发现Camera.dll文件有如下导出函数： Md5Class:: `vftable Md5Class::~Md5Class Md5Class:ecode Md5Class::Encode Md5Class::GetFileMD5 Md5Class:: GetMD5 Md5Class::HexChange Md5Class::MD5_memcpy Md5Class::MD5_memset Md5Class:: Md5Class Md5Class::Md5Class Md5Class::MD5Final Md5Class::MD5Init Md5Class:: MD5Transform Md5Class::MD5Update Md5Class:perator= 应该是一个MD5的导出类，但是文件名起个 Camera.dll，多少有点文不对题，不过这也可以理解，很多程序员不希望别人猜出他程序的模块组成，名字可以乱起的。再看资源中，有自定义类型 "DRV"的资源两个，一个的ID是6000，先将其导出为drv6000.dat(这个文件是重点)，另一个ID 是6001,文件头是 "Microsoft C/C++ program database 2.0"什么什么的，暂时没有猜出是干什么用的。另外还有一个自定义类型为 "GA"的ID是6002的资源，文件头和6001的一样，暂时略过。再看netdrv.dll文件，没有导出函数，只有三个自定义的资源，一个是类型为 "CA"的ID为7003的，文件头是"MZ"，这应该是一个EXE和 Dll这种可执行文件，于是将其导出为ca7003.exe，还有一个类型为 "IM"的ID为7004的资源，文件内容比较乱，文件内容如："皑蔼碍爱袄奥坝罢摆败颁。。。"十分象是一个汉字码表，用 ASCII码为0x02的字符隔开了，这有虾米用处呢，实在奇怪。第三个资源是类型为"NET"的ID为7002的资源，文件头也是"MZ"，没啥说的，直接另存为net7002.exe(这时发现net7002.exe的图标和远程视频嗅探器.exe的图标一样，大小也相符，不过文件内容稍有差异) 最后看看vk.dll文件，6.86KB，ExeScope认为不是一个合法的Dll或EXE文件，于是用UltraEdit将其打开，文件内容部分 "DQogICAgyP3Krr7FvdrKp7b4uLS1ww0KDQogICAg"，貌似64进制编码，通过解码后那些内容把偶笑坏了，部分正如下三十九节失而复得"姐姐，姐姐。"姚君武大呼小叫的冲进了病房。。。汗。。这是什么玩意？通过Google搜索才知道，这是小说《纨绔才子》的一部分，呵呵，真是搞笑。回头看"远程视频嗅探器.exe"，资源中也有几个自定义的，一个是类型为"DRIVE"的ID为134，另存为 drive134.dat(这个文件很有意思，和上面的drv6000.dat有异曲同工之处)，经过比对发现和drv6000.dat文件一模一样，用 UltraEdit打开后发现文件头是 "FWS"，熟悉Flash的朋友可能知道这是什么文件了。呵呵，将后缀更名为swf，用播放器或IE打开，哈哈哈哈，原来是录制的一段视频，有号称是两个“美女”在镜头前活动的一段录像。