闪讯浅层技术分析(一)

电信罪恶滔天,不好好做基础设施建设,为了降低网络实际利用率,做了闪讯这个辣鸡拨号客户端,搞得人民怨声载道。

以下是对闪讯客户端的一点浅层分析。

ftp://220.191.135.253:10021/download/SetupSchool_1.2.18.28.exe 10.03M
MD5   (SetupSchool_1.2.18.28.exe) = 0219ae3aece26e08d48ddc9d6466b0d2
SHA1  (SetupSchool_1.2.18.28.exe) = 42c928810965a97c6c37ca2105d02be01c3195ce
SHA256(SetupSchool_1.2.18.28.exe) = c977453f9fb02c58cb03106f478be80edfdb38106dd6b967b17d7d80eef221ad

刚下完就被报了个毒,吓我一跳。

Avast! Red Popup

Avast! reporting Shanxun as malware

然后拿去 VirusTotal 扫一扫,16/54 的报毒率,可以说它包含很多类似病毒的代码特征。

话不多说,上 Sandboxie。

Sandboxie preparation

好怕怕……

Screenshot 2015-10-09 22.30.41

卡在了这里,不过强制结束 NDIS 驱动安装可以走完安装程序。

然后发现它检测虚拟机和沙盘。哭。

Shanxun is unable to run under Virtual Machine

最后拿 Windows 7 通过了驱动安装过程,提取出其改动的所有文件:

Shanxun installation succeed

困了,以后继续。

2 thoughts on “闪讯浅层技术分析(一)

  1. lmath

    话说这玩意还会杀 XueTr 和 PowerTool 呢!杀不掉就来个蓝屏,拒绝虚拟机太正常了。

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据