学习笔记。
前言:第一次接触,朋友发给我的。
取自:22年信息安全管理与评估二阶段。
要求:
下载 查壳
32ida打开。
先上微步云沙箱看看:
样本报告-微步在线云沙箱 (threatbook.com)
https://s.threatbook.com/report/file/157ff2d794408753c3b2f063b9f627a61c3a8b700e997691131498d9a3a15408
一般实战时,大可以从这些地方进行出发。去分析用了哪些API 做了什么。
最好在虚拟机进行分析。。
正题,回归做题。
第一次不确定怎么办?
创建进程的API
跟进参数。
跟踪就好
(其实,我感觉是9,,因为call XXX函数才是调用 r是读 p才是执行)。
关于休眠函数一般来讲 都是要跟踪sleep的
我们直接找sleep就好。
点p就好 r是读 没用。
跟进看看。
判断方法:
大致猜测这是属于报错退出的sleep。
所以找关键就行了。
(答案给的三十。。 我不知道。。。后面再看吧 我感觉是10 。。。)
我自己做的:
答案:(别人)
