远程控制木马分析报告

样本主体分析18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.EXE

样本基本信息:

属性
Filename 18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.EXE
MD5 b9b34748f958c31e12ae3741f728be99
SHA-1 a806386497e280612eadbe87e2104550c95ab617
File Type Win32 EXE
Magic MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit
SSDeep 12288:DKGk6+Tjk6PQEAEd0bpkRgNyPBODdgVRX6Tw:Dz+TwNE0NfcAT
File Size 467.39 KB

静态分析

18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.EXE

分析恶意Windows程序


知识点

多数恶意代码运行在Windows上,因此对Windows变成概念的深刻理解会帮助我们识别出恶意代码在主机上感染的迹象,本章会介绍一些恶意代码使用Windows功能的独特方式,并且会讨论恶意代码是如何使用内核模式来实现额外功能与自身隐藏的。

Windows API:Windows API是一个广泛的功能集合,管理着恶意代码与微软程序库之间的交互方式,Windows API使用他自己的名字。例如DWORD和WORD类型分别标识32位与16位无符号整数。标准C类型如int、short等通常并不使用。Windows总体上使用匈牙利表达法,作为API函数的标识符,这个表达式使用一个前缀命名,如32位无符号整数变量会以dw开头。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×