CS专业大学生,刚刚下载自己编译的exe时发现,下载完成的一瞬间火绒报毒。
因为是自己编译的exe,很清楚里面是没有恶意代码的。和之前编译的exe对比,发现报毒的exe多出一个section:
360社区
经过一系列尝试后,发现每当复制/下载exe后,火绒都会报毒,所以用IDA逆一下,发现报毒的exe入口函数做了以下操作:
360社区
动态获取一系列函数地址
360社区
最后把section后面附带的一个exe写入到temp目录下,WinExec后,返回到原exe的入口地址。
看了一下写入到temp的exe,aspack的壳。简单脱壳后,发现这个exe下载5个rar解压后执行:
360社区
翻看火绒的日志,发现修改exe的进程是explorer,怀疑explorer被注入shellcode或dll,用来向exe注入恶意代码。
section.zip
(12.91 KB)
|
|
|
|
评论
直达楼层