首先说明,这种antidebug方式只会使部分分析者一时疏忽造成困扰,玩的是巧,而不是技术~ 而确实在最开始的时候也给我造成了一些困扰,当然了,我很菜~ 言归正传~ 这是一个“龙之谷”的盗号木马 1,从自身提取一个名为"MWAI"的资源,并释放到系统临时文件夹中,名称为kb****.bin (*的是0~9的随即数字)。 2,接着进行自身验证,通过比较当前进程文件的最后8位是否为7001000000010000来判断木马是否完整(比如脱壳的版本~这个木马用的PEcompact2.x壳),如果验证通过,则提取当前木马文件的后0x170个字节内容追加到刚刚释放的bin文件中,来完成bin文件的组装。 3,加载组装后的bin,并安装全局WH_GETMESSAGE钩子来获取账号信息组装函数:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
