多层加密在内存释放真正样本文件, 样本文件创建svchost.exe进程并从远程地址下载数据注入到新创建的svchost.exe中
开始解密用到: 在本进程中创建两个Pipe,利用两个Pipe中转数据
调试技巧:
该样本利用SetUnhandledExceptionFilter函数(顶级过滤函数)创建异常处理函数,并有目的的产生“非法访问内存”异常(004077c8处),从而调用自己的异常处理函数来处理。
OD调试时需要更改如下两个地方:选项/调试设置(Alt+O)/异常/非法访问内存 的 勾 去掉
插件/HideOD/Option/SetUnhandledExceptionFilter 勾上
这个释放出的样本文件中的加密网址和 EC601A2313D71FEE0F73AA7908A8F0E0 的解密网址相同,研究下看看
通过下断点 BP CreateProcessA 来获得从远程下载到的内存样本。
想起什么来再写吧