1.双击运行文件,出现如下窗口内容
2.关闭窗口,把.exe文件放在IDA中进行分析
3.打开之后页面如下
4.call表示调用函数,这里调用了4个函数,其中SHGetSpecialFolderPathA函数,用于检索特定文件夹的路径。push offset String2 ; "10.exe”:这是将字符串“1:0.exe”推入堆栈的操作。这个字符串可能是一个文件名或路径。
5.在ida中双击运行0.exe
6.使用Process Monitor对文件和注册表进行检测,发现文件sample_mal.exe文件运行之后创建了一个文件。
7.打开路径,发现它创建了一个文件名为0.exe的文件
8.双击该文件,出现了源文件一样的内容
9.将源文件和创建之后的文件放在编辑器里比较,发现他们的内容是一样,说明:该sample_mal.exe程序在运行之后会执行复制操作。
