-
-
[原创]病毒分析日志3_inline hook邮件窃密器
-
发表于: 2020-11-5 21:15
-
MD5
查壳
查壳
无壳
基础静态分析
Thread32First和Thread32Next用来遍历一个进程的所有线程,CreateToolhelp32Snapshot用来创建一个进程,堆空间,模块和线程的快照,病毒常用这个函数在多个进程线程之间传播感染
CopyFileA ReadFile CreateFileA表名创建了一个文件然后将它复制到了别处
RegCloseKey RegSetValueExA RegOpenKEyExA 说明用到的注册表操作并设置了一个注册表键
VirtualProtect修改一个内存区域的保护机制,该病毒可能将一块只读的内存修改为可写可执行代码
send wsock32.dll表明该病毒使用了网络功能,AppInit_DLLs和SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows表明该病毒使用AppInit_DLLs来永久安装自身
这里有一些奇怪的字符串,猜测对网络传输的内容做了加密处理,结合上面的图看到的"RCPT TO:"可能对邮件进行了加密处理。
用PEView查看,该文件有三个导入库,但是没有资源节
查看依赖关系
该文件只有一个导出函数,installer
最后于 2020-11-6 09:51
被Golden_Boy编辑
,原因:
