程序运行后就删除自身,应该怎么来分析?
一个辅助程序,调试的时候我直接用x32dbg加载结果调试程序刚启动,就会终止,而神奇的是——这个时候软件界面出来了!
一开始我以为是某种反调试
于是我把它运行起来,在用x32dbg附加它,结果发现它的路径竟然是Temp文件夹,如下图:
这就奇怪了,明明我是在桌面双击运行的啊,怎么路径跑到了这里了? 于是我猜测它可能在启动前进行了复制操作
事实证明果然如我猜测的这样,程序启动后,会调用:“kernel32.dll”里边的“CopyFileA” 把自身复制到Temp文件夹,然后在启动,启动后又直接删除自身。
分析到这里我就想,那能不能hook copyfileA 到我指定的文件夹呢?
经过我的测试,确实可以复制到我指定的文件夹,但是,它运行后又会复制自身到Temp,这样就成了俄罗斯套娃了,永远没完没了
并且程序启动过程中还调用了有CreateProcessA这个API函数
中间我也尝试过能不能搜索“del”这个关键词,看看它究竟调用了哪个api删除自身,毕竟它有删除行为的,但是都没有断下来。
至此我也不知道该怎么分析它了
不求PJ,想知道怎么才能不让它删除自身,或者不复制到Temp,同时程序还能正常运行,该怎么往下分析啊?
求大佬看到能帮忙指点一二,真的非常感谢
样本链接如下:
链接:https://ww2.lanzouq.com/itqIK276uzne
密码:dnbe
在导入x64dbg之前 先运行 目标程序 不要关闭,这样目标程序就被占用了,就不会删除自身了,然后在 x64dbg导入 可以看看它复制后运行的启动参数。可能是启动后在新进程执行删除。 这个应该就是打包后的效果(类似于单文件),直接把解压后的exe路径下文件复制出来应该可以直接运行或分析了 来个正版卡,试试山寨 本帖最后由 夜陌 于 2024-8-12 10:36 编辑
易游的,发个正版卡看看时间数据 是不是通过dos命令删除自身的 夜陌 发表于 2024-8-12 10:35
易游的,发个正版卡看看时间数据
谢谢大佬回复,这是测试卡:XXDrv3wA4gqxNi4LX3c2vQJO5ehmE8Sp
占用您的宝贵时间了,帮简单分析一下吧,它是怎么一个运行机制,再次感谢 ps122 发表于 2024-8-12 10:30
这个应该就是打包后的效果(类似于单文件),直接把解压后的exe路径下文件复制出来应该可以直接运行或分析 ...
感谢老师指点,想问一下怎么找到您说的“解压后的exe路径”呀?是需要监控哪个API呀?
我实在是不知道要怎么分析它了,甚至我都不确定它是不是易语言写的,因为没有找到语言特征 小南跑 发表于 2024-8-12 11:08
谢谢大佬回复,这是测试卡:XXDrv3wA4gqxNi4LX3c2vQJO5ehmE8Sp
占用您的宝贵时间了,帮简单分析一下吧 ...
我总感觉他这个是破解后 二次加密的
页:
[1]
2