qq_42814021的博客

文章目录样本信息样本行为详细分析DllMain挂起其他线程劫持宿主进程，覆盖.text节ShellCode1Resource365_100019D0ShellCode3创建傀儡进程注入ShellCode4ShellCode4Sleep调用内置DLL，回连C2_executeDllEntryPoint总结分析样本信息MD5：3c0533706f1f2f9ce1d46658bbc2aa16样本类型：DLL32分析工具：DIE、OD、IDA样本行为该样本是个loader类型的DLL，其运行后回挟持宿主

文章目录样本信息样本行为详细分析线程1线程2六个功能函数线程3样本信息MD5：72CCC18F3038E19273010D45AC2142CE样本类型：exe32分析工具：DIE、OD、IDA样本行为详细分析拿到样本后，老规矩，先拖到DIE中看一下，32位的exe，C/C++写的，无壳。可以直接用IDA和OD开始分析。样本在WinMain函数中首先进行反沙箱检测，通过检测音频设备是否存在或API是否可用。然后做一系列的准备工作，其中比较重要的就是解密并释放数据。然后进行自拷贝，将自身拷贝到

文章目录样本信息样本行为详细分析样本行为样本信息MD5：ff5e1f27193ce51eec318714ef038bef类型：exe32分析工具：DIE、火绒剑、OD、x32dbg、IDA样本行为详细分析拿到样本之后，先拖到DIE中看一下，发现有UPX壳。直接脱壳：脱壳成功后，用IDA打开，发现入口处是无意义的函数调用：阅读其他分析文章发现是需要先解密然后再脱一次壳，暂时搞不太懂。直接根据参考的分析文章上的EP脱壳，竟然成功了。之后有时间再看解密，先继续分析。样本行为入口处主

样本信息MD5：b4964c8ac85b1e428c9eefe572237b21类型：exe32样本行为该样本是感染性极强的病毒，属于Parite家族，运行后会释放DLL并将其注入explorer进程，感染本地磁盘和网络磁盘中的exe文件和scr文件。