程序运行后就删除自身，应该怎么来分析？

小南跑

一个辅助程序，调试的时候我直接用x32dbg加载

结果调试程序刚启动，就会终止，而神奇的是——这个时候软件界面出来了！


一开始我以为是某种反调试

于是我把它运行起来，在用x32dbg附加它，结果发现它的路径竟然是Temp文件夹，如下图：



这就奇怪了，明明我是在桌面双击运行的啊，怎么路径跑到了这里了？ 于是我猜测它可能在启动前进行了复制操作

事实证明果然如我猜测的这样，程序启动后，会调用：“kernel32.dll”里边的“CopyFileA” 把自身复制到Temp文件夹，然后在启动，启动后又直接删除自身。

分析到这里我就想，那能不能hook copyfileA 到我指定的文件夹呢？



经过我的测试，确实可以复制到我指定的文件夹，但是，它运行后又会复制自身到Temp，这样就成了俄罗斯套娃了，永远没完没了


并且程序启动过程中还调用了有CreateProcessA这个API函数


中间我也尝试过能不能搜索“del”这个关键词，看看它究竟调用了哪个api删除自身，毕竟它有删除行为的，但是都没有断下来。


至此我也不知道该怎么分析它了


不求PJ，想知道怎么才能不让它删除自身，或者不复制到Temp，同时程序还能正常运行，该怎么往下分析啊？


求大佬看到能帮忙指点一二，真的非常感谢



样本链接如下：

链接：https://ww2.lanzouq.com/itqIK276uzne
密码：dnbe

qq465881818

在导入x64dbg之前 先运行 目标程序 不要关闭，这样目标程序就被占用了，就不会删除自身了，然后在 x64dbg导入

爱飞的猫

可以看看它复制后运行的启动参数。可能是启动后在新进程执行删除。

ps122

这个应该就是打包后的效果（类似于单文件），直接把解压后的exe路径下文件复制出来应该可以直接运行或分析了

夜陌

来个正版卡，试试山寨

夜陌

易游的，发个正版卡看看时间数据

shaokui123

是不是通过dos命令删除自身的

小南跑

夜陌 发表于 2024-8-12 10:35
易游的，发个正版卡看看时间数据

谢谢大佬回复，这是测试卡：XXDrv3wA4gqxNi4LX3c2vQJO5ehmE8Sp

占用您的宝贵时间了，帮简单分析一下吧，它是怎么一个运行机制，再次感谢

小南跑

ps122 发表于 2024-8-12 10:30
这个应该就是打包后的效果（类似于单文件），直接把解压后的exe路径下文件复制出来应该可以直接运行或分析 ...

感谢老师指点，想问一下怎么找到您说的“解压后的exe路径”呀？是需要监控哪个API呀？

我实在是不知道要怎么分析它了，甚至我都不确定它是不是易语言写的，因为没有找到语言特征

夜陌

小南跑 发表于 2024-8-12 11:08
谢谢大佬回复，这是测试卡：XXDrv3wA4gqxNi4LX3c2vQJO5ehmE8Sp

占用您的宝贵时间了，帮简单分析一下吧 ...

我总感觉他这个是破解后 二次加密的