提取带后门破解应用的源程序

群里面看见有人发了个xray高级版的破解版,下载下来发现杀毒报毒了,丢上VT一看大部分的引擎都报毒了,于是开始分析

卡巴斯基提示是一款国外的远控,丢进虚拟机运行看看,发现运行后以一个新的进程开启了xray,很明显就是先释放了然后去启动它

看下进程可以清楚看见xray确实是独立进程运行着的:

但是桌面没看见软件,文件夹选项取消隐藏文件也是看不见,使用cmd代码补全发现文件确实存在,这就很明显是隐藏了,直接attrib取消隐藏属性就完事了

后来看了下这还是感染型病毒,桌面所有exe文件都被感染了,还好散布者不会免杀,只要电脑有杀毒基本上都可以拦截。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *