找出安全漏洞 QQ盗号软件后门分析与反击(2)

　　新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe

　　很明显软件本身在运行的同时释放了一个123.exe 而NOD32查杀到的也就是这个文件。

　　C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\

　　接着我们用peid查下123.exe. 图4

　　EP段.nsp1经常搞免杀的应该知道这是北斗加的壳，我们再看看区段vmp 图5

　　这个一看就是用vmprotect做的免杀。至于123.exe是什么木马咱门就不继续分析了。

　　接下来分析他生成后的文件是不是一样令人担忧。

　　随便配置一个图6

　　Ollydbg手工给他脱壳esp定律简单 图7

　　脱壳成功后我们在用PEID检测下 图8