摘要： 前几天从卡饭样本区发现了一个456游戏的样本，该样本被恶意捆绑了远控，具体步骤是这样的，456游戏安装包安装完成之后，会在桌面生成一个快捷方式，这个快捷方式指向的却是一个52hxw.exe，52hxw.exe是一个白文件，它会加载目录下的hxw.dll并调用其中的EnableConversion导出函数，作者恶意构造了一个hxw.dll文件并导出EnableConversion函数，这个函数会运用内存加载技术把一个名为WebGame.dll加载到内存中，我用Xuetr把它dump出来，据PEID和FFI的检测是PE文件，但是用OD就是加载不起来，很是郁闷。后来又换了一种思路，既然它要把WebG 阅读全文

摘要： int main(int argc, char* argv[]){ WSAData wsadata; WSAStartup(MAKEWORD(2,2),&wsadata); char file[MAX_PATH]="c:\\WebGame.dll"; HANDLE hFile=CreateFile(file,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_EXISTING,0,NULL); int filesize=GetFileSize(hFile,0); BYTE *a=(BYTE*)malloc(fil 阅读全文