病毒来源:朋友服务器发现此木马
当时为了提样本搞了很久,一直找恢复文件,对提取样本有研究的朋友还请指导指导。
文件名:vister.exe
MD5:30866adc2976704bca0f051b5474a1ee
此处创建了一个进程
申明了一个2800大小的Space.buffer
并将地址mov到5123EA08
导入win32 api 创建了文件,继续走。
Loadlibrary加载了msvcrt.dll,获取memcpy的函数地址。
病毒来源:朋友服务器发现此木马
当时为了提样本搞了很久,一直找恢复文件,对提取样本有研究的朋友还请指导指导。
文件名:vister.exe
MD5:30866adc2976704bca0f051b5474a1ee
此处创建了一个进程
申明了一个2800大小的Space.buffer
并将地址mov到5123EA08
导入win32 api 创建了文件,继续走。
Loadlibrary加载了msvcrt.dll,获取memcpy的函数地址。