-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18634小时
-
- 发帖786294
- 搜Ta的帖子
- 精华0
- 飞翔币209891
- 威望215717
- 飞扬币2613068
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786294
- 飞翔币
- 209891
- 威望
- 215717
- 飞扬币
- 2613068
- 信誉值
- 8
|
本人小菜一个,分析不到位的地方,请各位大大多多指教。原贴说的免杀,并不是完全免杀,国内的一些杀毒软件还是能查杀出来的。1、样本信息:原始文件名:QT语音.exeMD5:CA2B935DF2AA3D2564E95837A0A4979A处理器框架:Microsoft Visual C++ 6.0文件大小:0.97 MB (1,024,000 字节)2、样本行为分析(1)样本在调用资源数据段中的函数(已自定义),资源数据段中对应的DLL函数中有对应的函数 资源数据段的内容: (2)在资源数据表获取函数名称 资源表中的数据: (3)在注册表中将steam的记住密码选项默认开启 (4)检查用户的游戏账号是否被封禁 (5)获取steam登录时的key (6)获取QQ快捷登录的方法  (7)构造HTTP协议包 (8)修改steam登录框 (9)将登录框的信息转为jiemi1.txt (10)加载指定的虚假的登录DLL,将其转为jiemi2.txt  (11)将程序提到最高权限 (12)再自定义HTTP头,用来记录保存用户的steam账号信息,并生成授权 (13)遍历用户磁盘 
|
