你不要问我什么意思,
我们点击第二个数据包
这种类似BootLoader的代码一般是16位汇编代码写成的
因此我们在编码栏中选择反汇编16位
可能有些朋友会说看不懂汇报代码,没关系。一般密码是一资源的形式存在。拉到汇编代码底部密码就有了
这样不就手工了。其实这个也没有技术可言。
在PeDoll被开发出来后,这种行为分析下的远控木马服务端大多无处遁形,个人尤其喜欢的就是使用PeDoll来分析这种远控,木马,通过这种行为分析,你可以很容易就找到大部分远程木马将自己藏到了计算机的哪里,动了哪些文件与注册表,与哪个服务器进行了通讯,发送了什么数据包。
我们就可以通过对数据包的分析,给那些企图加害本人的服务端一点厉害瞧瞧了。当然,当中的知识与抓包分析有更多关系
当然遇到这种的也不用客气,直接嘿嘿嘿。
