某绒安全面试病毒分析(二)

承接上次的分析,由于我个人对病毒分析很菜,然后我们这次就用到火绒剑这款工具和IDA来简单的看下病毒的行为,按照下面截图所示

从上面火绒剑的显示我们可以看到这个病毒做了下面的几个操作
对三处文件做了修改或生成,
然后更改了注册表项HEKY_LOCAL MACHINE……,
然后又设置http指定到carder.bit
设置连接ip为66.171.248.178:80
然后我们在载入ida看下导入表,



看到ADVAPI32是高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。
下面部分导入函数表的说明




THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消

    请填写用户信息: