VC驿站

 找回密码
 加入驿站

QQ登录

只需一步,快速开始

搜索
查看: 2117|回复: 8

[分享] 代码分析-01

[复制链接]
75_avatar_middle
最佳答案
23 
online_supermod 发表于 2021-3-25 01:44:12 | 显示全部楼层 |阅读模式
代码分析-01
箭头1得方向,指明了该程序得伪装将1想伪装成l但是明显对比之下是不同,正常得程序事不需要这么干,嫌疑+1分
箭头2得地方算是加1分,因为1+2那么说明该程序得嫌疑很大,初步断定,
箭头3 文件映射create file mappinga   内核文件映射, 再加上文件赋值函数,有加1分
到这里  其实但部分得函数都指向该程序得嫌疑一直在蹭蹭得往上走,接着有调用了ws2   WindowsSockets所以到这里这几就在加5分了

然后来看看动态库
代码分析-01
这几个函数基本都不用解释了吧  坐实了
createmutexa互斥体函数
createprocess 进程函数
sleep      休眠
strcmp字符串对比
后面还有个ip地址,
妥妥得是个智障恶意程序!

评分

参与人数 2驿站币 +2 热心值 +2 收起 理由
31_avatar_small cpp2019 + 1 + 1 这是小菜写的,真正的恶意代码,导入函数只.
70_avatar_small tony666 + 1 + 1 感谢分享!

查看全部评分





上一篇:MyOS---01
下一篇:吾爱一个cm 2021-3-31日解手记
31_avatar_middle
最佳答案
62 
在线会员 发表于 2021-3-27 10:48:35 | 显示全部楼层
这是小菜写的,真正的恶意代码,导入函数只能看到一两个,字符串看不到什么,看得到的也是加密的,CreateFileMapping是个很常用的API不能说明什么吧!

评分

参与人数 1驿站币 +2 热心值 +2 收起 理由
58_avatar_small thzzl + 2 + 2 学习了

查看全部评分

85_avatar_middle
最佳答案
0 
online_vip 发表于 2021-3-25 09:32:12 | 显示全部楼层
哈哈 学习了代码分析-01
75_avatar_middle
最佳答案
23 
ico_lz  楼主| 发表于 2021-3-25 15:18:26 | 显示全部楼层
04_avatar_middle
最佳答案
22 
online_vip 发表于 2021-3-25 19:58:55 | 显示全部楼层
你这用的是个什么工具?
75_avatar_middle
最佳答案
23 
ico_lz  楼主| 发表于 2021-3-26 04:37:35 | 显示全部楼层
xiao14116 发表于 2021-3-25 19:58
你这用的是个什么工具?

loadpe
04_avatar_middle
最佳答案
22 
online_vip 发表于 2021-3-26 18:20:19 | 显示全部楼层
我是问那个cmd里面运行的工具,不是loadpe
75_avatar_middle
最佳答案
23 
ico_lz  楼主| 发表于 2021-3-26 19:11:45 | 显示全部楼层
xiao14116 发表于 2021-3-26 18:20
我是问那个cmd里面运行的工具,不是loadpe

strings这个
13_avatar_middle
最佳答案
1 
在线会员 发表于 2021-3-30 21:23:54 | 显示全部楼层
厉害,佩服 小菜只会一些简单代码,完全看不懂

评分

参与人数 1驿站币 +2 热心值 +2 收起 理由
58_avatar_small thzzl + 2 + 2 未来可期

查看全部评分

您需要登录后才可以回帖 登录 | 加入驿站 qq_login

本版积分规则

×【发帖 友情提示】
1、请回复有意义的内容,请勿恶意灌水;
2、纯数字、字母、表情等无意义的内容系统将自动删除;
3、若正常回复后帖子被自动删除,为系统误删的情况,请重新回复其他正常内容或等待管理员审核通过后会自动发布;
4、感谢您对VC驿站一如既往的支持,谢谢合作!

关闭

站长提醒上一条 /2 下一条

QQ|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号-4 )|网站地图wx_jqr

GMT+8, 2023-6-4 21:56

Powered by CcTry.CoM

© 2009-2021 cctry.com

快速回复 返回顶部 返回列表