temu zhi 2a文件分析

       2a文件，为一个病毒样本，采用temu动态执行后，获得其执行路径，然后在vine下，提取出受污点影响的模块有三个：shlwapi.dll、kernel32.dll、ntdll.dll。第一个模块包含大量字符串处理方法，包含三类函数：sre开头的是字符串处理函数，path开头的是路径处理函数、sh开头的是注册表处理函数。

      一、分析在shlwapi.dll中分析到的函数（0x77f4403e-0x77fa8450）

     1、pathfileexists（确定一个文件或者目录的文件系统路径是否有效）？0x77f8704，且0x77f8*范围之内只调用此函数

     2、0x77fa，0x77f9*，0x77f7*，0x77f6*，0x775*，0x77f4* 没有调用相关函数。

   二、在kernel32.dll中应用到的函数（0x7c801629-0x7c8806f8）

    1、0x7c802

本文出自 “毕兹卡的男人” 博客，转载请与作者联系！