设为首页收藏本站

开启辅助访问

切换到宽版

VC驿站»论坛 › 【技术交流】 › 汇编语言 | 寄存器 › 代码分析-01

发新帖

查看: 2303|回复: 8

[分享] 代码分析-01

最佳答案: 23

online_supermod

发表于 2021-3-25 01:44:12 | 显示全部楼层 |阅读模式

代码分析-01

箭头1得方向，指明了该程序得伪装将1想伪装成l但是明显对比之下是不同，正常得程序事不需要这么干，嫌疑+1分
箭头2得地方算是加1分，因为1+2那么说明该程序得嫌疑很大，初步断定，
箭头3 文件映射create file mappinga 内核文件映射，再加上文件赋值函数，有加1分
到这里其实但部分得函数都指向该程序得嫌疑一直在蹭蹭得往上走，接着有调用了ws2 WindowsSockets所以到这里这几就在加5分了

然后来看看动态库
代码分析-01

代码分析-01

这几个函数基本都不用解释了吧坐实了
createmutexa互斥体函数
createprocess 进程函数
sleep 休眠
strcmp字符串对比
后面还有个ip地址，
妥妥得是个智障恶意程序！

评分

参与人数 2	驿站币 +2	热心值 +2	收起理由
cpp2019	+ 1	+ 1	这是小菜写的，真正的恶意代码，导入函数只.
tony666	+ 1	+ 1	感谢分享！

查看全部评分

上一篇：MyOS---01
下一篇：吾爱一个cm 2021-3-31日解手记

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复

最佳答案: 62

在线会员

发表于 2021-3-27 10:48:35 | 显示全部楼层

这是小菜写的，真正的恶意代码，导入函数只能看到一两个，字符串看不到什么，看得到的也是加密的，CreateFileMapping是个很常用的API不能说明什么吧！

评分

参与人数 1	驿站币 +2	热心值 +2	收起理由
thzzl	+ 2	+ 2	学习了

查看全部评分

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复支持 1 反对 0

最佳答案: 0

online_vip

发表于 2021-3-25 09:32:12 | 显示全部楼层

哈哈学习了

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复支持反对

最佳答案: 23

ico_lz

楼主| 发表于 2021-3-25 15:18:26 | 显示全部楼层

kadingxiaodi 发表于 2021-3-25 09:32
哈哈学习了

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复支持反对

最佳答案: 23

online_vip

发表于 2021-3-25 19:58:55 | 显示全部楼层

你这用的是个什么工具？

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复支持反对

最佳答案: 23

ico_lz

楼主| 发表于 2021-3-26 04:37:35 | 显示全部楼层

xiao14116 发表于 2021-3-25 19:58
你这用的是个什么工具？

loadpe

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复支持反对

最佳答案: 23

online_vip

发表于 2021-3-26 18:20:19 | 显示全部楼层

我是问那个cmd里面运行的工具，不是loadpe

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复支持反对

最佳答案: 23

ico_lz

楼主| 发表于 2021-3-26 19:11:45 | 显示全部楼层

xiao14116 发表于 2021-3-26 18:20
我是问那个cmd里面运行的工具，不是loadpe

strings这个

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复支持反对

小白学编程

最佳答案: 1

在线会员

发表于 2021-3-30 21:23:54 | 显示全部楼层

厉害，佩服小菜只会一些简单代码，完全看不懂

评分

参与人数 1	驿站币 +2	热心值 +2	收起理由
thzzl	+ 2	+ 2	未来可期

查看全部评分

还在担心驿站币不够用？开个终身Vip会员，一劳永逸！

回复支持反对

发新帖

站长提醒 /2

|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号-4 )|网站地图

GMT+8, 2023-12-11 10:56

Powered by CcTry.CoM

© 2009-2021 cctry.com

快速回复 返回顶部 返回列表