随笔分类 -  病毒分析

摘要：可以按照分析的清理就行，不是很难，已经全部分析完了，包括本地文件和云端的部分样本。病毒不是很难，这病毒最牛逼的地方在于，自动化扫描攻击。通过cmd开启65531 32 33端口，来标记该机器是否已经被感染。 分析该样本需要先看一下powershell反混淆。地址是http://rvasec.com/ 阅读全文

摘要：1. 简介 该样本是前几周爆发的THINKPHP漏洞中，被批量上传的一个病毒样本。如图所示。 2. 分析 该样本未经混淆，加壳，所以直接拖到IDA中即可分析。 首先从main函数开始。做一些初始化的函数，然后fork进程，父进程退出，子进程继续执行，推测是为了更好的迷惑。 如图 然后设置sid，更改 阅读全文