揭开病毒的面纱:恶意代码自解密技术
发布时间:2019-05-28 09:25:01 所属栏目:建站 来源:深信服千里目安全实验室
导读:分析病毒的时候,常常遇到一种很奇怪的现象,使用查壳工具查看一个样本明明没有加壳,但是反编译或调试时,却不能直观地看到样本的恶意操作,这是为什么呢?很简单,这是因为攻击者采用了自定义的加密方法,在样本运行时实现自解密并执行真正的恶意操作,
|
堆中的代码负责修改原始代码并跳转回去执行。
跳转回来后,0×403016处的代码就是解密后的核心恶意代码,接下来就可以调试GandCrab的恶意代码了。
将内存Dump下来,也可以分析出加密文件的代码逻辑。
(编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
