样本信息

字符串信息

导入表信息

导出表信息

样本分析

• Install函数
  

• ServiceMain函数
  

• SetAgent
  

• 创建工作线程
  

• ThreatProc
  

线程功能
连接C2，接收C2指令（Y29ubmVjdA（继续下一次接收）、cXVpdA（关机）、Y21k(执行后门函数)）

• BackDoorFun
  

查杀思路

• 删除注册表键：
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Service/IPRIP下的
  Description
  DepenOnService
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Service/IPRIP/Parame

总结

服务里可以执行很多代码。可以实现长久驻留。

技巧

调试dll,强制调用dll中的导出函数（可设置参数，记得设置断点）

• 可以附加调试svchost

本栏目推荐文章
• 03_GPIO输出
• 02_新建工程
• Spring表达式语言（SPEL）学习（03）
• [Maven] 02 - POM模型与常见插件
• 03-精细规划与用心治理
• webgl学习02-绘制一个点
• 03.接口测试用例设计
• 浦语书生大模型实战训练营03笔记和作业
• 02.常见的接口协议
• mall商城笔记-02