一、样本分析
1、c0443397.exe
带数字签名
1、找shellcode入口
virtualprotect的参数:
既然已知会解密这里的内存 下一个内存写入断点,如果有写入操作就断下来
跳到shellcode起始位置设置为新的eip
第一个函数进行常规的加载dll,查找函数操作
shellcode中查找loadlibrary
第二个函数中解密第二层shellcode
第二层shellcode中启用新线程加载pe文件
先加载各种dll(user32、kernel32.。。)
使用的技术的进程镂空创建子进程,并将子进程的代码替换为恶意代码。
具体特征:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
huangyalei 图片都不显示