首先查壳,VC++
静态分析IDA
函数402020分析:
从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020
可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能
当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。
如果开发者为了防止别人的破解,就需要在自己开发的层面上,给自己和破解者施加更多的难题,本身就是一件竞争起来很好玩的事情。
根据menu,4019E0为UploadFunc
关键API提示的很明显,新建文件,通过SOCKET通信来复制并写入文件