樣本托入ghidra:

剛開始對(duì)時(shí)候就一個(gè)循環(huán)拖慢引擎，接著用線程同步來判斷是否在殺軟引擎里面，注意：在虛擬機(jī)里面同步是可以完成的，也就是_n==4會(huì)成立，在殺軟引擎里面往往Sleep函數(shù)會(huì)馬上返回。

接下來去Kernel32動(dòng)態(tài)庫找一個(gè)不存在的函數(shù)，如果沒找到，判斷不在殺軟引擎里面。
加載一個(gè)不存在的dll,如果返回0，則不在引擎里面。
可以看的里面還用了很多無用的循環(huán)來拖慢虛擬機(jī)。

最后檢測(cè)完后跑開始跑惡意代碼。

總結(jié)

以上是生活随笔為你收集整理的反杀软引擎样本分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。