MM样本的分析:
是用的北斗的壳,但无法用通用的脱壳机,但可单步跟踪。手动的也比较简单,也不多说了有要研究的朋友可以PM
脱壳后,大概的流程可以知道:
1. 历遍了系统进程和注册表结束以下的杀软,IFEO劫持多个杀软:
13141D30 68 CC501413 push 131450CC ; ASCII "360Safe.exe"
13141D35 E8 56FEFFFF call 13141B90
13141D3A 68 C0501413 push 131450C0 ; ASCII "360tray.exe"
13141D3F E8 4CFEFFFF call 13141B90
13141D44 68 B4501413 push 131450B4 ; ASCII "360rpt.EXE"
13141D49 E8 42FEFFFF call 13141B90
13141D4E 68 A8501413 push 131450A8 ; ASCII "Runiep.exe"
13141D53 E8 38FEFFFF call 13141B90
13141D58 68 A0501413 push 131450A0 ; ASCII "RAv.exe"
13141D5D E8 2EFEFFFF call 13141B90
13141D62 68 94501413 push 13145094 ; ASCII "RSTray.exe"
13141D67 E8 24FEFFFF call 13141B90
13141D6C 68 88501413 push 13145088 ; ASCII "CCenter.EXE"
13141D71 E8 1AFEFFFF call 13141B90
13141D76 68 7C501413 push 1314507C ; ASCII "RAVMON.EXE"
13141D7B E8 10FEFFFF call 13141B90
13141D80 68 70501413 push 13145070 ; ASCII "RAVMOND.EXE"
13141D85 E8 06FEFFFF call 13141B90
13141D8A 68 60501413 push 13145060 ; ASCII "GuardField.exe"
13141D8F E8 FCFDFFFF call 13141B90
13141D94 68 54501413 push 13145054 ; ASCII "Ravxp.exe"
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!