提問者:karis 2019-11-16
今天我分析了一下這個解析之后的樣本,發(fā)現里面有日期星期,但是后面就不知道怎么分析了。您能簡單說一下提取出來的這個文件怎么分析嗎?還有這個樣本的目的
這個樣本還是蠻復雜的,所以我們可以由一些靜態(tài)特征去辨別它的功能。比如在IDA的查看字符串功能里面,有vmware和virtualbox,那么它就是在檢測虛擬機;有Mozilla、Maxthon等瀏覽器廠商,那么就是在檢測瀏覽器,有私自安裝對應流氓插件的可能性。還能找到cmd.exe /C ping 1.1.1.1 -n 1 -w 3000用于自身刪除。還有\(zhòng)\.\PhysicalDrive%d用來獲取磁盤信息等。都是比較可疑的操作,可以從字符入手來了解程序作了什么。