菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
C 编写的,未加壳
在虚拟机跑了一下,考察了一下执行效果,用微步在线剖析了一下。
确立了8个历程,现在我们还不太清晰这些历程做了什么事情
现在我们直接IDA剖析,进入main函数
大致寄义是凭证参数来判断执行流程,若是参数小于即是1跳转到loc_40144f处,弹出两个窗口,若是我们都点击确认的话就会分配4000h的堆内存,并获取当前历程的路径;若是点否的话退出历程。
紧接着天生5个通俗的历程和一个最高响应优先级的历程(历程的参数差异,详情见微步图),,
,最退却出本历程菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
接下来我们剖析参数大于1的情形
前面基本一样,都是获取历程的相关信息。接下来遍历历程,并将其与我们以前的信息做对比(在这看汇编有一点懵,最后用IDA的F5天生的伪C也许看懂了。)主要判断是否kill了历程,一旦kill了一个历程就挪用sub_401021子函数。凭证推测,子函数的主要功效是重启
接下来看看sub_401021()子函数的功效。IDA的识别似乎有一点问题,百度了一下最后在看雪找到领会决方式
该函数主要确立了20个线程,并在最后挪用了关机的函数。后面的写指导区由于能力不足暂时剖析不了。
最后附上一张大致执行流程图
总结:第一次举行病毒剖析,遇见了许多的坑,但还好都解决了。小我私人以为平时真的应该自己着手剖析一下,脑子会了,手纷歧定会
参考文章:https://bbs.pediy.com/thread-262873.htm,msg_header_h1_4
最后附上我的IDA剖析数据库