cmd如何在内存中为此声明布局变量?:
set foo=ASCIIchars bar=moreASCIIchars
我正在尝试解开this kind of malware code的迷雾。我能够成功地读取大多数恶意代码,除了与变量之间的空格相对应的字符。
对于我工作的特殊情况,对于前两个变量,它像ASCIIchars???moreASCIIchars
一样布置内存在这种情况下,每个?
都是一个未知字符,我假设它是填充以完成一个4字节字。
我想知道填充是随机的还是专门指定的,可能与第二个变量名有关,但不确定。
发布于 2018-12-14 03:52:33
事实证明,在这种特殊情况下,混淆脚本也试图使用空格和等号,不确定原因和方式,但我假设这与在使用&&
添加另一个命令之前以斜杠/
结尾的事实有关
因此,对于:
set foo=ASCIIchars bar=moreASCIIchars/&&
foo
的内存完全按照ascii:ASCIIchars bar=moreASCIIchars/
中的说明进行布局,这可能与cmd解析引号的方式有关,您可以找到malware structure here,很高兴地宣布我消除了恶意软件的混淆,该恶意软件打算使用powershell下载文件。
https://stackoverflow.com/questions/53768256
复制相似问题