m0_55062962的博客

原创 记一次挖矿木马样本分析

将自身 (6c5d91.exe)、临时文件以及系统关键进程 (explorer.exe, AddInProcess.exe) 添加到 Windows Defender 的排除列表中，从而使其后续活动不被安全软件拦截。主进程： 6c5d91.exe (PID: 4100)，位于用户桌面目录 (C:\Users\Administrator\Desktop\6c5d91.exe)。异常特征： 样本的 PE 文件节大小异常，且时间戳也存在异常，这些都是加壳或混淆的常见迹象。