发表病毒贴，通知作者后还不悔改

body2

http://wuyou.net/forum.php?mod=v ... page%3D1&page=1


行为分析
https://habo.qq.com/file/showdetail?pk=ADcGZl1rB2QIOFs0U2E%3D

jimlgb

我用麦咖啡查没毛病啊？defender也没有报警？倒是另外一个新版本microKMS_v19.04.03.exe麦咖啡和defender都报警，搞糊涂了

dajky

可能作者本意只是想分享给大家好用的工具，忽略了测试吧。感谢你的提醒，认真又严谨。

Hexoxg

谢谢提醒，有毒那就不用

zlq_hysy

我就爱破解论坛似乎删除了？不知是不是有毒，反正火绒把他杀了的，就像某大神说的，XP不用破解，很少用了，win7有个load和CHEW-WGA也就够了，win10很少用，有个数字激活备用，win8目前常用，不嫌麻烦就用180天的KMS-VL-ALL-7.2RC2用着，反正半年也够长了，自己还找了个启动就激活一次的小工具，满足了。

body2

dajky 发表于 2019-5-17 15:47
可能作者本意只是想分享给大家好用的工具，忽略了测试吧。感谢你的提醒，认真又严谨。

我提醒过他，帖子就编辑了下说是误报，觉得有毒可以不下载。
最后留个毒贴在那，那么多回帖，我是怕坑了小白

窄口牛

wa不清楚，pyg确实是有故意传毒的人，还来过咱们论坛。至于你说的这个，我没兴趣，所以没有下载，反正各种破解，修改版都要小心使用。

wuyou

破解操作系统的，基本上都是说不清楚的，被报毒也很正常，下载者自己把握。

zds1210

破解软件被报病毒，很正常。当然老毛桃PE中的程序，好多报病毒，但实践证明是非常安全的。
洁避都不要用。

fjzjk

有检测虚拟机的大部分都有问题
之前用的那些纯净经典激活软件都没有检测虚拟机这种行为，无论是小马oem7、kms8、chew wga，数字权利激活

fjzjk

zds1210 发表于 2019-5-17 18:48
破解软件被报病毒，很正常。当然老毛桃PE中的程序，好多报病毒，但实践证明是非常安全的。
洁避都不要用。

z大！主要是行为检测，有虚拟机检测、不允许虚拟机中运行的，多半都是有问题的程序。因为他们怕别人用虚拟机测试出他的有害行为

zds1210

楼上厉害。

指南针

6楼的匿名回复是怎么发出来的

fjzjk

zds1210 发表于 2019-5-17 19:19
楼上厉害。

吾爱破解这个论坛有发生过比较多次的病毒贴事件，不允许虚拟机运行的都要特别重视。大部分的锁机、木马、后门软件都会加入虚拟机检测的部分。因为吾爱这种论坛，大家都比较多的使用虚拟机来测毒
确实激活类软件大部分都会报毒，但是行为检测和简单的查毒是两码事。我们常用的激活软件都可以在虚拟机中使用，极少有见到检测是否虚拟机，还在注册表中搜索虚拟机信息的。
-----------------
刚刚我对腾讯检测的行为分析里面出现的几个敏感位置的文件进行搜索，发现是一个监控软件的模块。这应该是后门
------------------23：40分更新----------------------
原帖吾爱论坛版主已经确认捆绑木马，已经被封禁

fjzjk

wintoflash 发表于 2019-5-17 21:42
https://www.virustotal.com/#/file/9e4ed35a02f5a88d6db98cfb6fa5bdb1edfe7d86e4545dde0aec4690944fe3a5 ...

7zip可以打开啊？我用bandizip打不开
腾讯的行为检测明显证明了这个软件是有问题的，等我打字整理一下

fjzjk

根据腾讯的哈勃分析系统，我们可以提取出几个重点：
1、虚拟机探测，以及注册表中的虚拟机检测
2、加载驱动tfsfltdrv.sys
3、在system32创建特殊属性文件夹Ocular
4、创建系统服务，加载winrdgv3.exe、tfsfltdrv.sys这两个文件。

经过百度搜索得知，winrdgv3.exe、tfsfltdrv.sys这两个文件是ip-guard这款监控软件的模块，这款软件可以进行监控和文档加密等操作。
另外楼上说了，用其他在线检测工具可以查出有毒，7zip打开发现里面有猫腻等等

fjzjk

wintoflash 发表于 2019-5-17 21:53
7-ZIP右键打开方式选"#"或"#:e"都可以打开。
前面的1.exe修改时间是2010年，体积只有600k左右，应该是mi ...

看来破解还是7zip好用。我平时图方便都是bandizip。
还是我技术不行，对这种破解不在行。我只会简单的去壳和破解.net程序

fjzjk

wintoflash 发表于 2019-5-17 22:07
原帖中病毒检测报告只有两个引擎报毒。实际上传后有7个引擎报毒。

我重新下载上传检测试试。而且吾爱那个帖子下面也有人回复了，他过去下载的就是那个600k的版本，楼主那个6m的明显有问题

不是，那个人原帖上传的是zip文件，md5没错。解压出来exe扫描是你这个结果也没错

body2

wuyou 发表于 2019-5-17 18:33
破解操作系统的，基本上都是说不清楚的，被报毒也很正常，下载者自己把握。

而且我都帮你把行为分析报告贴出来了，也没空检测看一眼吗？
一个正常软件会释放2个.exe + 1个.sys吗？

举个例：
E语言写的程序基本都报毒，我如果用E语言的程序绑个木马上来发几个贴也去让论坛用户自己分辨？
那还要版主来干嘛？

fjzjk

body2 发表于 2019-5-17 22:13
而且我都帮你把行为分析报告贴出来了，也没空检测看一眼吗？
一个正常软件会释放2个.exe + 1个.sys吗？
...

术业有专攻。无忧不是特别擅长分析和破解病毒木马并不奇怪。
还是整理一下然后举报加上吾爱论坛举报吧，我已经发到吾爱论坛的病毒样本分析区了，等大佬反编译分析

2012jiashanni

fjzjk 发表于 2019-5-17 19:09
z大！主要是行为检测，有虚拟机检测、不允许虚拟机中运行的，多半都是有问题的程序。因为他们怕别人用虚 ...

我程序判断虚拟机 检测到虚拟机开启免软件捆绑特权 是不是也有问题

fjzjk

2012jiashanni 发表于 2019-5-17 22:45
我程序判断虚拟机 检测到虚拟机开启免软件捆绑特权 是不是也有问题

我不敢说绝对，但是大部分确实是有问题的。麻烦您仔细看我后面的回复，行为分析和查毒结果都是有问题的。

吾爱原帖已经被版主删帖封号了。确认捆绑木马

chishingchan

那贴子我回复过，没下载过！哈哈！

fjzjk

我解压后得出是这样的东西

danmo

2012jiashanni 发表于 2019-5-17 22:45
我程序判断虚拟机 检测到虚拟机开启免软件捆绑特权 是不是也有问题

有些东西。只有自己做软件的，知道其中辛苦，加这些对自己的一种保护而已。问心无愧就好了。

fjzjk

我在吾爱病毒样本区发，已经被版主确认挂马并把原帖删帖了

fjzjk

wuyou 发表于 2019-5-17 18:33
破解操作系统的，基本上都是说不清楚的，被报毒也很正常，下载者自己把握。

站长，吾爱原帖已经被确认挂马并删帖了。
吾爱原帖

2012jiashanni

吾爱没几样东西干净的  有种人 一个是破解别人的程序 改下作者信息 然后捆绑木马

fjzjk

2012jiashanni 发表于 2019-5-17 23:48
吾爱没几样东西干净的  有种人 一个是破解别人的程序 改下作者信息 然后捆绑木马

是的，吾爱大部分本来就是破解别人程序，然后根据论坛要求把作者信息改成52pojie。
但是捆绑木马的行为还是比较少的，一旦被发现就是删封。