注册
登录
看啥推荐读物
专栏名称:
看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
我也要提交微信公众号
今天看啥
微信公众号rss订阅, 微信rss, 稳定的RSS源
微信公众号RSS订阅方法
B站投稿RSS订阅方法
知乎回答RSS订阅方法
知乎专栏 RSS订阅方法
雪球动态RSS订阅方法
微博RSS订阅方法
微博搜索关键词订阅方法
豆瓣日记 RSS订阅方法
目录
相关文章推荐
FreeBuf
·
近5成营收增长,净利润最高涨5倍 | ...
·
2 天前
看雪学苑
·
怎么让 IDA 的 F5 支持一种新指令集?
·
4 天前
安全牛
·
2024年网络安全服务应用状况调查:服务质量 ...
·
4 天前
sunwear
·
诬告代价好低,要提起刑事自诉吗?-20240 ...
·
6 天前
看雪学苑
·
网络性能监控工具Progress ...
·
1 周前
今天看啥
›
专栏
›
看雪学苑
骷髅病毒简单分析
看雪学苑
·
公众号
·
互联网安全
· 2018-04-19 18:00
目录一、样本信息二、行为分析三、详细分析四、博客数据:https://pan.baidu.com/s/1EUIguu7YV3pS7F7ej7aDNg一、样本信息1. 样本名称:样本.exe(脱壳后为样本dump.exe)2. md5:5b8bc92296c2fa60fecc6316ad73f1e23. 是否加壳:加壳UPX4. 编译语言:visual C++二、行为分析1. 通过注册表判断系统是否被感染2. 获取windows目录,利用计时器实现随机命名,把病毒copy到windows目录实现隐藏3. 删除样本文件4. 创建服务,实现自启5. 链接指定url,执行后门行为。三、详细分析1. PEID查壳,发现是UPX加壳,ESP定律法脱去2. 病毒先将 currentcontrol\services\ 和15654656链接起来,并且利用RegOpenKey来打开这个注册表。目的是:判断这个服务是否被创建,换句话说看病毒是否在系统内存在3. 如果这个服务不存在,病毒执 ………………………………
原文地址:
访问原文地址
快照地址:
访问文章快照
分享到微博
推荐文章
FreeBuf
·
近5成营收增长,净利润最高涨5倍 | 2023中国网安上市企业年报速览
2 天前
看雪学苑
·
怎么让 IDA 的 F5 支持一种新指令集?
4 天前
安全牛
·
2024年网络安全服务应用状况调查:服务质量和实际效果是最大的应用挑战
4 天前
sunwear
·
诬告代价好低,要提起刑事自诉吗?-20240427155201
6 天前
看雪学苑
·
网络性能监控工具Progress Flowmon曝满分漏洞,已公开PoC
1 周前
中国电力报
·
“要科学合理设计新型电力系统建设路径”| 两会高能·图明白
1 月前
CSDN
·
数据智能基础设施升级窗口将至?看九章云极 DingoDB 如何击破数据痛点
1 年前
国资智库
·
地方国企改革三年行动进展观察:下一步将在各层级企业全面深入实施三项制度改革
1 年前
渐悟
·
最好的投资是投资自己
3 年前
MEMS
·
我国“探霾雷达”新进展:实现对500米以下“近地雾霾”高清探测
4 年前