真正的压缩数据起始位置为该资源偏移为0x41BB0B(0x41BB0B = 0x41BF0B(传入参数) - 0x400)的位置,压缩数据被逐字节加0x62加密过,解密后可以得到原始7z压缩数据。相关代码,如下图所示:
压缩数据解密代码
将数据解压后我们得到了恶意驱动压缩包(解压后驱动名为jus3310s.sys)和原始的小马激活工具(ActE.exe),如下图所示:
解压后文件
在火绒虚拟行为沙盒中的运行情况,如下图所示:
虚拟行为沙盒运行情况
恶意驱动jus3310s.sys加载后,会注册映像加载回调劫持浏览器启动参数。当映像文件名为浏览器文件名时,恶意驱动会将浏览器启动参数劫持为如下网址。劫持所使用的网址,如下图所示:
劫持网址列表
受影响浏览器列表,如下图所示:
受影响的浏览器列表
恶意驱动首先会对加载映像的文件名进行检测,检查是否为浏览器文件名,之后对其父进程进行检测查看父进程是否为桌面进程(包括系统explorer、360桌面助手和360安全桌面),如果父进程是桌面进程则会对启动参数进行劫持。过滤浏览器进程相关代码,如下图所示:
过滤浏览器进程代码
《关于人工智能生成内容的平台规范暨行业倡议》,提出应用生成式人工智能技术时,发布者应对人工智能生成内容进行显著标识。...
反诈老陈自曝2022年收入133万,“缴税近40万,捐赠84万”,曾称网络上得到的收入分文不取。老陈自曝引起了广泛热议。...
随着疫情管控的放开,纷纷传出今年上半年开始恢复线下举办大型演唱会的消息,粉丝们的期待值也不断提高。...
近日,不少网友发帖称,安踏一产品海报疑似打色情擦边球,该海报还被用在天猫平台安踏官方网店的首页位置。...
对于中国人而言,春节无疑是一年中最重要的节日。对于海外华侨华人而言,春节不仅是抒发思乡爱国之情的日子,也是身体力行讲述中国故事的最好节点。...
春节期间,不少地方的社区食堂做好相关保障工作,为社区(村)的老人以及周边居民、就地过年人员等提供实惠周到的服务,送上融融暖意。...
王珞丹被北京市昌平区人民法院列为被执行人,案由为建设工程施工合同纠纷。10月22日,王珞丹工作室发声明回应此事。...
“义务教育教师工资不低于公务员”“减轻义务教育阶段学生作业负担和校外培训负担”“促进义务教育均衡发展”“扩大有计划的划片就近入学比例”…...
山东热线是山东地区最专业的新闻热线网站,是全国各界人士了解山东的主要窗口之一;本站以山东本地新闻为主,可以说是山东地区最全的本地新闻热线站了。了解山东地区新闻欢迎访问本站。