- 博客(1)
- 收藏
- 关注
原创 010.exe 病毒分析
010.exe 64位的文件,用ida大致看了一下main函数的内容,这里是拼接字符串的内容 动态调试看一下Dest的内容 内容: \\.pipe\MSSE-1165-server 该后门创建线程,连接管道 通过VirtualAlloc分配内存空间,解密shellcode代码 在0x2C0000内存块里开始解密 jmp rcx 地址正好是我们解密的shellcode的位置 直接dump出来是一个有效的PE文件 通过调用InternetOpenA,InternetConnectA连接服务器 在
2020-11-23 11:58:53 314
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人