一 : 遂平县实验小学女教师梁红亚绑架8岁学生致死被判死刑(注：已被执行)

遂平县实验小学女教师梁红亚绑架8岁学生致死被判死刑

“希望法官给我两个孩子一个拥有母亲的机会……”昨日，在遂平县人民法院，29岁的梁红亚 　　去年3月，为人师表的她，为还赌债竟绑架了自己的女学生，怕事情暴露又将其活活闷死。一审法院判处其死刑后，原被告双方均提出上诉。昨日，省高级人民法院第一刑事庭首次在基层法院遂平县开庭审理该刑事案。 　　被老师带走后，女生死亡 　　昨天上午在庭审现场，嫌疑人梁红亚刚被法警带进法庭，受害人的父亲突然失声痛哭，并情绪激动地试图冲向嫌疑人梁红亚，后被法警制止。据了解，受害人苑诗伟年仅8岁，是遂平县实验小学三(1)班的班长，平时学习成绩很好。 　　2008年3月7日，班主任发现平时从不旷课的苑诗伟没有按时上课，遂询问其母亲，母亲连忙和父亲联系。“我亲自将女儿送到了学校，怎么会不见了？”在寻找无果后，中午12时，感觉情况不妙的父亲报警了。 　　警方调查得知，该校29岁的女教师梁红亚早晨带着苑诗伟离开校园。梁曾在二年级教过苑诗伟数学，后梁当上体育老师。得知女儿被梁老师带走的消息后，苑诗伟的爸爸便和民警一起找到校长说明情况，校长将梁红亚叫到办公室询问。一开始，梁红亚坚决否认见过苑诗伟，但她神色紧张，引起警方的怀疑。民警带着苑诗伟的家人和梁红亚一起到她的家里搜查。民警要求梁红亚打开房门，她起初不愿打开，民警便强行将门打开，发现苑诗伟就在里面的床上，她的嘴和鼻子被胶带封着，脸色发青。民警将胶带揭开，苑诗伟已经没有了呼吸。 　　警方随后将梁红亚控制。梁红亚很快承认了自己为偿还赌债绑架学生，因怕事情败露就捂住苑诗伟的口鼻致其窒息死亡的犯罪事实。 　　为还赌债，女教师绑架学生 　　“赌博害死人”，梁红亚供述，造成她犯罪的原因就是赌博。她得知丈夫的姐夫于联合打牌有技巧，遂于2006年3月和于联合一起到舞钢等地赌博，梁红亚出本钱，输赢两人均分。第一次赌就输了12万元钱，按二人的协议，于联合应分担5万元，但于一直没给梁红亚。后梁又独自赌博，输了六七十万元钱，欠下巨额赌债。后来梁红亚在催促于联合还钱时提出，二人共同绑架一有钱人还债。 　　梁红亚决定从自己学生中下手，为此，她还询问学生谁家有车？什么车？一些学生举手说自己家有车。有车就有钱，这让梁红亚很兴奋。她将目标锁定了苑诗伟。2008年3月6日下午，梁在赌博中输掉2万元后，再次电话告知于联合，绑架苑诗伟，于当即答应。 　　3月7日早上7时许，梁到学校门口等苑诗伟，7时20分，苑的父亲开车送苑诗伟。苑进校门后，梁追上苑，让苑帮她去办事，就领着苑回到自己家。她拿出7片安眠药，对苑说是打虫药，让苑吃下。随后，梁和苑的父亲联系，但电话一直打不通。上午9时，学校通知梁回学校。这时梁有些害怕，因苑还没睡着，担心一走，苑一个人肯定会大声喊叫，罪行就会败露。这时，苑提出要解手，梁跟着苑进了卫生间，突然把苑摁倒在卫生间地上，用塑料袋捂住苑的嘴巴和鼻子，几分钟后，苑诗伟死在老师手中。 　　因怕苑醒来，梁用透明胶带从孩子的脑部绕了两圈，将其鼻子和嘴都封住。 　　请求给孩子拥有母亲的机会 　　2008年8月7日上午，驻马店市中级法院作出一审宣判：判处梁红亚死刑，剥夺政治权利终身，没收个人全部财产；判处从犯于联合有期徒刑15年，剥夺政治权利5年，并处罚金5万元。民事赔偿受害人各种损失1.4万余元。 　　二人不服一审判决，遂提出上诉。上诉人于联合认为，他没有预谋和梁红亚参与绑架，没有杀人，只是接听了梁红亚的电话，一审判决不符合事实。而梁红亚的上诉理由是：她被抓后认罪态度好，从抓到审，一直配合公安机关办案；她是受了赌博的危害，在精神极度崩溃的情况下才实施了犯罪行为；此外，自己的一双儿女也需要母亲照顾。法庭将择日作出判决。

二 : 美女毒贩梅晓郡梅晓夏被执行死刑全程实拍(图）

梅晓郡梅晓夏梅晓郡图片梅晓夏被执行死刑图梅晓郡资料梅晓郡被执行死刑图梅晓郡个人资料梅晓郡案件女毒贩梅晓郡梅晓郡相片梅晓郡被执行死刑图梅晓郡图片梅晓郡尸体梅晓夏被执行死刑图梅晓郡相片梅晓夏图片梅晓郡枪决现场图片

三 : CallWindowProc被宏病毒利用来执行Shellcode

　　简述

　　在反病毒领域，CallWindowProc执行Shellcode的方法早在2009年就有过讨论，近期360QEX引擎团队发现有宏病毒首次使用该方法，传播敲诈者勒索软件。

　　常见的宏病毒释放(下载) PE 文件，并执行的方法有：

　　数据来源步骤：PE 数据来源网络(downloader)，或数据来源自身病毒文档(dropper);

　　数据执行步骤：执行 PE 使用的方式 Application.Shell 或者 Wscript.shell 或者 Win32 CreateProcess。

　　而最新出现的样本与上述方式方法不同，由宏代码生成内存数据(为shellcode，并非直接的 PE 文件数据)，并利用CallWindowProc来执行Shellcode，由Shellcode完成后续操作。

　　病毒样本：

　　MD5: cec4932779bb9f2a8fde43cbc280f0a9

　　SHA256: efd23d613e04d9450a89f43a0cfbbe0f716801998700c2e3f30d89b7194aff81

　　样本详细分析

　　源文档宏代码被混淆，并填充了垃圾代码，对宏代码进行简化后，如下，

　　

 

　　分析该宏代码，得到的执行步骤有，

　　1、 获取窗体控件中预存的字符串数据;

　　2、 进行数据解码;

　　3、 申请内存空间，将数据以二进制形式复制到此内存空间;

　　4、 使用 CallWindowProc 执行 shellcode (二进制数据)。

　　

 

　　步骤 4 a) 使用 CallWindowProc 执行二进制数据

　　

 

　　步骤 4 b) 从Windbg 查看 CallWindowProc 调用

　　Shellcode分析

　　二进制数据中同时存在32和64位的shellcode，32位的偏移于0x08A6，64位的偏移于0x0240处;

　　下面以32位版本为例分析：

　　首先，根据CallWindowProc调用shellcode时第二个参数为文档自身路径，Shellcode中打开文档，并在文档中寻找二进制标志串“50 4F 4C 41”，然后对标志后的0x142AC(图中硬编码)个字节进行第一次解码，解码算法是对每个字节先加3然后异或0x0D;

　　

 

　　第一次解码后的数据：

　　

 

　　Base 解码后的数据，从标志可以判断该二进制数据是一个PE：

　　

 

　　接着创建文件并写入解码后的数据，其文件路径为：

　　32位下："%TMP%gg771.exe"

　　64位下："%TMP%kt622.exe"

　　

 

　　文件释放完成后，调用API CreateProcessA创建进程：

　　

 

　　释放的PE文件MD5为： cc05867751b1de3cab89c046210faed4。

　　安全建议

　　鉴于近期宏病毒变种多携带敲诈者病毒通过垃圾邮件传播，更新频繁，360杀毒和安全卫士内置的QEX引擎已对此进行了针对性防御，建议用户开启安全软件的实时防护功能，不随意点击垃圾邮件中的链接和附件，能够降低中招的风险。

　　参考：

　　1、https://github.com/decalage2/oletools

　　2、

　　3、

　　4、https://msdn.microsoft.com/en-us/library/windows/desktop/ms633571(v=vs.85).aspx

本文标题：女毒贩被执行死刑-遂平县实验小学女教师梁红亚绑架8岁学生致死被判死刑(注：已被执行)
本文地址： http://www.61k.com/1146506.html