根据分析,可以分为四部分去看
1.初始化各种数据
2.经过一些列自己写的算法运算
3.获取磁盘和驱动器的信息,并且处理文件
4.写入系统时间(需要跟随大里面去看)
虚拟机动态调试查看.
?...并设置为新的EIP
?...经过上面和下面的分析,得出先获取注册表的值,然后申请内存
写入我们的内容
时间关系,不一步一不的跟了.
?
其实跟进去看的话她会设置自己的子体到里面,这样就会开机自启动了....四丶网络相关
此病毒还涉及到网络相关,但是现在这个病毒现在也链接不了服务器了.所以网络相关的掠过
如果想明白原理,建议自己跟一下看下也可以....得出行为:
1.使用命名互斥体,防止多开
2.创建文件在dmlconf.dat在C盘目录下,并写入时间
3.写入注册表开机自动启动
4.链接服务器,发送和接受数据
5.修改PE,以及