恶意代码分析实战Lab0304

首先查壳,VC++

静态分析IDA

函数402020分析:

从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020

可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能

当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。

如果开发者为了防止别人的破解,就需要在自己开发的层面上,给自己和破解者施加更多的难题,本身就是一件竞争起来很好玩的事情。


根据menu,4019E0为UploadFunc

关键API提示的很明显,新建文件,通过SOCKET通信来复制并写入文件

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值