分析系列二,由于我个人对病毒分析也不行,然后我们这次就用到火绒剑这款工具和ida来简单的看下病毒的行为,按照下面截图所示
从上面火绒剑的显示我们可以看到这个病毒做了下面的几个操作
对三处文件做了修改或生成,然后更改了注册表项HEKY_LOCAL MACHINE……,
然后又设置http指定到carder.bit 设置连接ip为66.171.248.178:80
然后我们在载入ida看下导入表,看到
ADVAPI32是高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。
而微软关于reportevent的解释如下
下面是一些简单的windowsapi的解释说明
