您的位置:首页 > 游戏 > 手游 > 企业建站 源码_企业常用系统_网络营销推广合同_nba赛程排名

企业建站 源码_企业常用系统_网络营销推广合同_nba赛程排名

2024/12/23 16:23:20 来源:https://blog.csdn.net/qq_63217130/article/details/143078416  浏览:    关键词:企业建站 源码_企业常用系统_网络营销推广合同_nba赛程排名
企业建站 源码_企业常用系统_网络营销推广合同_nba赛程排名

 首先F12+shift查看字符表  字符表发现可疑字符串

双击进入 再tab

进入这里 推测为main函数

可见一些可疑的api FindResourceW推测该木马使用了资源加载

VirtualAlloc申请内存

然后sub_1400796E0 有 dwSize 参数 推测为 拷贝内存 memcpy类似函数

然后sub_140078CB0函数

跟进函数

关键如下 故推测是在对资源加载的shellcode做base64解码

到这里 跟进去

在做AES解密 还是使用的是AES-256-CBC算法 解密之后的shellcode地址赋值给了lpAddress

跟进到这里

进去之后 推测使用了堆加密

最终执行shellcode的地方就是这两个之一了

首先跟进这一个

分别跟踪两个a1参数

第一个

第二个 推测也是在做内存释放

那么就肯定是qword_1400A0FB8函数执行的shellcode了

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com