此程序没有加壳:、
image.png
资源里面隐藏了一些恶意的程序
很多程序把自身隐藏在资源里面
FindResourceA,LoadResource对资源操作的API
GetWindowsDirectoryA(获取系统目录):很多恶意程序吧自身复制到系统目录下面
image.png
image.png
再看一看:
提高自身权限的几个API(提高自身权限就可以查看一些受到限制的资源)
OpenProcessToken
LookupPrivilegeVakueA
AdjustToTokenPrivileges
这三个API很可疑!!!!!
image.png
使用Strings命令:
URLDownloadToFileA(下载文件)
WinExec(执行exe)
推测:从后门下载恶意代码而后执行
image.png
将自身拷贝到System32目录下!
image.png
将此EXE拖拽至ResourceHacker里面查看其中的资源(因为上面有对资源操作的API):
可以看到他的资源,通过查看其资源发现这段代码为有可能是一个PE文件(注意看下图,里面有明显的MZ文字)
image.png
image.png
操作—>将资源保存为二进制文件
image.png
保存为aaa.exe
image.png
然后对其分析:
image.png
用PEID查看一下:
image.png
查看输入表:
image.png
开一个后门(URLDownLoadToFileA开一个后门):
image.png
