病毒分析第二讲,分析病毒的主要功能
经过昨天病毒分析第一讲,得出一个被注入的DLL
开始分析DLL主要功能
PS: IDA中,DLL会有各种初始化的代码,和释放资源,所以不再看...里面还有一层,进去查看.没有命名的函数都是无关紧要的,这些都是实现命名过了.
?...进去一层则看到
1.打开注册表
2.遍历注册表的值
3.修改注册表的值
4.关闭注册表
此时我们需要动态查看是进入是修改的那个注册表了.
1.找到线程回调
image.png
2.线程回调进入下段点,...并设置为新的EIP
?...经过上面和下面的分析,得出先获取注册表的值,然后申请内存
写入我们的内容
时间关系,不一步一不的跟了.
?
其实跟进去看的话她会设置自己的子体到里面,这样就会开机自启动了.