有关彩虹猫病毒的一些小小的分析
有关/main部分:调用:利用shellExecuteExW,参数为/main
进到/main的功能部分:上边所说的main进程,主要的功能部分是下方,从开始看起,定义了两个变量V8,V9,V8初始化为0,V9初始化为了一个静态的(因为以OFF开头)地址
点进V9的地址内部,发现V9是函数的地址集合,里面包含了10个地址集,也就是10个函数的起始地址,两个双字节型的变量排列的很整齐,基本上是一个地址一个值,所以猜想V9存储的是一个结构体型的数组
继续往下看...
原创
2021-05-29 14:13:32 ·
1083 阅读 ·
0 评论