找人帮忙分析一个dll的行为还有一个txt（不知道原来的后缀）的行为。-付费问答-看雪-安全社区|安全招聘|kanxue.com

wx_lucky_232 活跃值

2021-6-10 13:51

3936

这个txt文件生前可能是个可执行文件，但是改成exe也打不开。
这个dll里面有个createLoginStubW函数，可能是用来调用这个txt文件的。
具体行为求帮忙分析

最后于 2021-6-10 14:06 被kanxue编辑，原因：

上传的附件：

收藏・0

免费・2

支持

最新回复 (2)
寒山暮蝉雪币： 444 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	寒山暮蝉 2 楼 dll把TXT解密后就是一个病毒exe了 2021-6-10 15:27 0
jux1a 雪币： 968 活跃值： (6818) 能力值： (RANK：462 ) 在线值：发帖 30 回帖 118 粉丝 172 关注私信	jux1a 8 3 楼 1. 调用导出函数：CreateLonginStubW 2. 导出函数CreateLonginStubW中尝试读取当前路径下的\\svchost.txt文件，获取文件大小，然后ReadFile读取文件内容 3. 遍历读取的文件数据，异或0x9C之后减去0x64 4. 判断解密之后的数据头部是否是0x4D5A 5. 创建线程执行解密后的代码 2021-6-10 15:47 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复