测:
shellcode 通过读取 peb 中 dll 中的 IAT 地址来实现函数调用:
并且不通过函数名字而通过函数名字 hash 值得的方法来获得函数地址,以避免 函数字符串被轻易发现:
使用工具 jmp2it.exe调试 shellcode
通过动态调试获取shellcode 调用的函数名字:
经过分析,得出此shellcode 功能如下:
9、端口扫描工具autoGetv2.exe
autoGetv2.exe是一款基于Python脚本的端口扫描工具。
逆向发现pe文件中有pyinstaller的字符串
使用pyinstxtractor.py解包得到如下文件:
添加pyc文件头:
再使用easypython decompiler从pyc(pyo)文件得到py文件:
通过日志查询发现攻击者使用了如下的命令:
查杀情况如下: