新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe 很明显软件本身在运行的同时释放了一个123.exe 而NOD32查杀到的也就是这个文件。 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\
接着我们用peid查下123.exe. 图4
EP段.nsp1经常搞免杀的应该知道这是北斗加的壳,我们再看看区段vmp 图5
这个一看就是用vmprotect做的免杀。至于123.exe是什么木马咱门就不继续分析了。
接下来分析他生成后的文件是不是一样令人担忧。 随便配置一个图6
Ollydbg手工给他脱壳esp定律简单 图7
脱壳成功后我们在用PEID检测下 图8
