(4)IMAGEFILE1552052资源对应文件"net.dat",是一个加密的二进制文件。还原后就是安装包中最关键的病毒下载器程序。"net.dat "被安装程序"calsp_820.exe"或者"pdfsvr.exe"在内存解密后执行病毒代码,完成后续的"Kuzzle"下载和安装流程。解密后的net.dat文件全程不落地,只在内存中出现,通过调试手段保存后的文件,信息如下图:
△net.dat文件
3.病毒下载器加载流程分析
云记事本安装包"calsp_820.exe"和龙易PDF升级维护服务程序"pdfsvr.exe"使用相同的解密Key"0x3B",还原同为0x270的ShellCode代码,解密后的ShellCode代码完全相同,主要负责在内存中加载、解密病毒释放器释放的"net.dat"文件,调用解密后的PE入口点。还原ShellCode的代码如下:
△相同的ShellCode代码
内存中的ShellCode负责加载和解密"net.dat"文件的代码如下:
△加载和解密"net.dat"文件
最终在内存中执行病毒下载器入口代码。
上一篇:使用斗鱼直播伴侣的使用教程方法
网友评论(共有 0 条评论)
