## 监控分析
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/1.png)
大量windowsAPI,这其中对进程和资源节操作
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/2.png)
这里边发现在system32下的非windows自带的wuodmgrd.exe文件
最下边还有一个网址,估计是下载updater.exe
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/3.png)
四个资源节名称作为字符串反复出现,所以去resource hacker里看看文件资源节
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/4.png)
Ida里那么多代码,资源节里这么空明显是被认为修改过,将资源节导出待用
![](https://github.com/qwer597/123456aaa/blob/main/lab12-4/5.png)
我们发现在system32下打开wupdmgr.exe,这是windows自动更新的程序
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/6.png)
而且在system32下写入psapi.dll
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/7.png)
经过MD5比对样本的代码段资源就是wupdmgr.exe,可见wupdmgr.exe被篡改
## 反汇编分析
![](http