调试键盘纪录类型的样本
关注点:
1、Hook的位置
2、运行不起来可能是因为以计算机名作为密钥,【ahih_@i_back计算机名】
调试方法:
1、LoadLibrary 恶意代码的DLL
2、从Data字段查找到shellcode
3、引用ShellCode的位置
4、断点查看这个引用ShellCode的位置
关注点:
1、Hook的位置
2、运行不起来可能是因为以计算机名作为密钥,【ahih_@i_back计算机名】
调试方法:
1、LoadLibrary 恶意代码的DLL
2、从Data字段查找到shellcode
3、引用ShellCode的位置
4、断点查看这个引用ShellCode的位置
