摘要：逆向分析之后我们通过ida对该样本进行更深入的分析样本的main函数中，一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密，如下图所示。而函数dec_conf中实际调用了encrypt_code函数进行实际的解密，解密的操作为按位进行xor操作。以此可以通过脚本对样本中的字符解密，解... 阅读全文

摘要：样本行为该样本为国庆期间接到的一个应急，发现为今年比较流行的xorddos，遂分析一番。运行之后，查看进程，可以发现可疑进程ydxrooqtno，以及ppkzkneour。多次运行发现除了ydxrooqtno之外，其余进程的id，名称一直在改变。查看该进程镜像，可以看到该进程的文件镜像在/usr/b... 阅读全文