一、样本分析
1、c0443397.exe
带数字签名
1、找shellcode入口
virtualprotect的参数:
既然已知会解密这里的内存 下一个内存写入断点,如果有写入操作就断下来
跳到shellcode起始位置设置为新的eip
第一个函数进行常规的加载dll,查找函数操作
shellcode中查找loadlibrary
第二个函数中解密第二层shellcode
第二层shellcode中启用新线程加载pe文件
先加载各种dll(user32、kernel32.。。)
使用的技术的进程镂空创建子进程,并将子进程的代码替换为恶意代码。
具体特征:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
huangyalei 图片都不显示