这个里面inline挂钩汇编代码操作没看明白,记一下,过两天重新写一个关于inline挂钩的。
1.样本概况
病毒名称为Lab11-02.dll,编写语言为Microsoft Visual C++ 6.0。
1.1样本信息
md5:BE4F4B9E88F2E1B1C38E0A0858EB3DD9
sha1:79787427773DCCE211E8E65E1156BD60535494EC
病毒行为:
从Lab11-02.ini中解密邮件地址,给所有发出的邮件添加了一个收件人。
1.2测试环境及工具
环境:winxp32位
工具:OD IDA
2.具体行为分析
2.1主要行为
创建一个新的注册表项AppInit_DLLs,来永久安装恶意代码自身。