话不多说,直接开干,经典的图标伪装,伪装成一个DOC文档,以为换个马甲就不认识你了,哼哼!!朋友来了有好酒 敌人来了有猎枪,先上老三样自解压格式好了,是骡子是马拉出来溜溜吧!!哇好家伙,一窝全是,您可真能生!!!!
李鬼就是李鬼,弄个假的看不起谁呢。。。。里应外合,谋财害命爬我墙头,我呸,真猥琐意料之中小结:经典的白+黑加载方式,先释放白+黑程序,然后启动白程序MicrosoftUpdate.exe,再通过MicrosoftUpdate.exe加载SoftwareUpdateFiles.Resources下的 SoftwareUpdateFilesLocalized.dll恶意程序使用OD详细分析读取SoftwareUpdateFiles.locale中的内容解密数据执行解密后的数据,(因为中途跑飞了所以地址有一点变化,不影响分析,忽略即可)生成假文档迷惑用户
通过LoadLibrary和GetProcAddress获取函数地址
最后退出程序
先分析到这里,下次继续!!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
blck四 图1是什么工具,LZ。
附件是样本
TWater 给个哈希呗
看附件
multi-core 附件解压密码多少
Get01d 同问