AFC526906346A4BD68A4B3147DC5410的解密数据:
4044E4至40BD53 大小为7870(16进制)
解密Key:40BD54至40BEBC 大小为168(16进制)
解密方法:把解密数据按字节和Key按字节分别异或360次得到解密数据块(见IDA loc_401462处),再把解密数据块用Windows自带的ntdll.RtlDecompressBuffer函数进行解密得到真正的样本文件。
0EF3D0884419F54FED9D5C36AD78C304的解密数据:
4070AC至40E91B 大小为7870(16进制)
解密Key:40E91C至40EA83 大小为168(16进制)
解密方法:把解密数据按字节和Key按字节分别异或360次得到解密数据块(见IDA loc_4017AD处),再把解密数据块用Windows自带的ntdll.RtlDecompressBuffer函数进行解密得到真正的样本文件。