401000是典型的BASE64
4010BB:
发现这个函数就是调用了BASE64对字符串进行加密隐藏
4011A3:
然后根据v3的值是否为0:
根据msdn:
Downloads data into the Internet cache and returns the file name of the cache location for retrieving the bits.
HRESULT的返回有三种可能:- E_FAIL
- The operation failed.
- E_OUTOFMEMORY
- The buffer length is invalid or there was insufficient memory to complete the operation.
- S_OK
- The operation succeeded.
下载失败时返回E_FAIL,当缓冲区长度不够时返回E_OUTOFMEMORY,成功返回S_OK
main:
这里给了我们动态调试,得到字符串名称的机会~
GetCurrentHwProfile:得到当前硬件设备环境的结构体指针
BOOL WINAPI GetCurrentHwProfile( _Out_ LPHW_PROFILE_INFO lpHwProfileInfo );
GetUserName:取得当前用户的名字
啊
啊
问题1:代码使用了哪些网络库?它们的优势是什么?
啊
问题2:用于构建网络信令的信息源元素是什么,什么样的条件会引起信令的改变
啊
问题3:为什么攻击者可能对嵌入在网络信令中的信息感兴趣
啊问题4:是否使用了标准的Base64编码?
啊
问题5:恶意代码的主要目的是什么?
啊
问题6:使用网络特征可能有效探测到恶意代码通信中的什么元素?
啊
问题7:分析者尝试为这个恶意代码开发这个特征时,可能会犯什么错误
啊
问题8:哪些特征集可能检测到这个恶意代码(以及新的变种)?
啊
啊
啊
啊
啊
啊
啊
啊
啊
啊
啊
啊
啊
啊
啊
啊
啊