论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
安全讯息
[13312] 2018-10-17_负载恶意软件HawkEye的VBInject样本分析
文档创建者:
s7ckTeam
浏览次数:
2
最后更新:
2025-01-18
安全讯息
2 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2018-10-17_负载恶意软件HawkEye的VBInject样本分析
负
载
恶
意
软
件
H
a
w
k
E
y
e
的
V
B
I
n
j
e
c
t
样
本
分
析
M
a
c
c
F
r
e
e
B
u
f
2
0
1
8
-
1
0
-
1
7
0
x
0
1
概
述
概
述
恶
意
软
件
恶
意
软
件
H
a
w
k
E
y
e
的
利
用
大
多
都
是
通
过
钓
鱼
邮
件
分
发
,
利
用
的
利
用
大
多
都
是
通
过
钓
鱼
邮
件
分
发
,
利
用
o
f
f
i
c
e
直
接
启
动
直
接
启
动
H
a
w
k
E
y
e
主
体
或
者
一
些
经
过
加
密
的
主
体
或
者
一
些
经
过
加
密
的
程
序
,
本
文
中
的
程
序
,
本
文
中
的
V
B
I
n
j
e
c
t
属
于
后
者
,
也
把
重
心
放
在
了
调
试
这
个
属
于
后
者
,
也
把
重
心
放
在
了
调
试
这
个
V
B
程
序
上
。
程
序
上
。
文
件
基
本
信
息
如
下
:
V
i
r
u
s
T
o
t
a
l
上
的
该
样
本
信
息
:
病
毒
名
大
多
为
V
B
K
r
y
p
t
或
者
V
B
I
n
j
e
c
t
。
0
x
0
2
行
为
监
控
行
为
监
控
将
自
身
复
制
到
C
:
U
s
e
r
u
s
e
r
A
p
p
D
a
t
a
R
o
m
a
i
n
g
W
i
n
d
o
w
s
U
p
d
a
t
e
.
e
x
e
,
创
建
C
:
U
s
e
r
u
s
e
r
A
p
p
D
a
t
a
R
o
m
a
i
n
g
p
i
d
.
t
x
t
,
C
:
U
s
e
r
u
s
e
r
A
p
p
D
a
t
a
R
o
m
a
i
n
g
p
i
d
l
o
c
.
t
x
t
,
并
将
W
i
n
d
o
w
s
U
p
d
a
t
e
.
e
x
e
加
入
自
启
动
项
。
用
w
i
r
e
s
h
a
r
k
抓
网
络
行
为
,
发
现
该
样
本
会
访
问
h
t
t
p
:
/
/
w
h
a
t
i
s
m
y
i
p
a
d
d
r
e
s
s
.
c
o
m
/
,
并
与
y
a
n
d
e
x
邮
件
服
务
器
建
立
连
接
。
0
x
0
3
反
调
试
反
调
试
因
为
是
个
V
B
程
序
,
首
先
就
想
到
用
V
B
d
e
c
o
m
p
i
l
e
反
编
译
。
效
果
如
下
:
似
乎
是
没
不
能
看
出
什
么
,
于
是
来
调
试
一
下
。
步
过
这
个
c
a
l
l
之
后
,
会
跳
转
到
一
个
错
误
指
令
:
想
到
可
能
是
因
为
反
调
试
导
致
的
,
所
以
步
入
0
x
4
0
1
2
A
1
的
c
a
l
l
,
然
而
里
面
的
代
码
都
是
模
块
m
s
v
b
v
m
6
0
的
,
一
个
比
较
快
能
定
位
到
主
程
序
的
办
法
就
是
通
过
V
B
d
e
c
o
m
p
i
l
e
中
显
示
的
地
址
。
于
是
我
在
0
x
4
A
0
7
D
6
、
0
x
4
A
0
B
C
8
下
断
。
F
o
r
m
L
o
a
d
中
没
有
什
么
有
用
的
信
息
,
直
接
断
到
F
o
r
m
P
a
i
n
t
。
这
里
做
了
一
些
字
符
串
的
操
作
,
直
接
自
动
步
过
,
然
后
来
到
下
面
这
个
c
a
l
l
:
回
车
进
去
看
到
有
调
用
D
l
l
F
u
n
c
t
i
o
n
C
a
l
l
,
这
里
会
调
用
R
t
l
M
o
v
e
M
e
m
o
r
y
很
多
次
,
复
制
一
段
内
存
:
在
循
环
结
束
的
地
方
F
4
:
单
步
之
后
发
现
程
序
会
在
下
图
位
置
运
行
起
来
,
进
入
错
误
指
令
:
跟
进
后
,
又
来
到
下
面
的
c
a
l
l
(
因
为
其
他
的
c
a
l
l
都
有
函
数
名
_
_
v
b
a
x
x
x
)
,
回
车
进
入
后
发
现
这
个
c
a
l
l
也
调
用
了
D
l
l
F
u
n
c
i
t
o
n
C
a
l
l
:
调
用
了
E
n
u
m
W
i
n
d
o
w
s
,
这
个
函
数
一
个
参
数
是
回
调
函
数
,
所
以
需
要
留
意
。
函
数
原
型
:
函
数
原
型
:
B
O
O
L
E
n
u
m
W
i
n
d
o
w
s
(
W
N
D
E
N
U
M
P
R
O
C
l
p
E
n
u
m
F
u
n
c
,
L
P
A
R
A
M
l
P
a
r
a
m
)
;
l
p
E
n
u
m
F
u
n
c
是
指
向
回
调
函
数
的
指
针
,
l
P
a
r
a
m
是
传
递
给
回
调
函
数
的
参
数
。
看
此
时
栈
的
状
态
,
第
一
个
参
数
位
于
0
x
1
2
F
4
D
8
,
在
该
处
下
断
。
然
后
F
8
-
>
执
行
到
用
户
代
码
,
断
到
该
处
:
:
单
步
到
后
面
的
j
m
p
之
后
跳
到
下
面
的
地
址
:
这
里
c
a
l
l
e
d
x
之
后
,
跳
到
错
误
地
址
,
该
地
址
正
确
编
码
后
的
指
令
是
:
地
址
为
0
x
4
8
E
A
9
2
,
但
程
序
却
跳
到
了
0
x
4
8
E
A
9
3
:
注
意
到
在
c
a
l
l
之
前
的
一
条
a
d
c
指
令
,
程
序
在
这
里
加
了
1
,
导
致
跳
转
到
0
x
4
8
E
A
9
3
,
反
反
调
试
的
话
做
到
这
里
把
这
条
指
令
n
o
p
掉
就
可
以
了
,
不
过
可
以
看
看
[
e
b
x
+
2
]
的
值
是
怎
么
决
定
的
。
返
回
去
看
到
这
里
,
就
知
道
为
什
么
了
。
f
s
:
e
s
i
指
向
自
身
(
T
E
B
结
构
)
,
偏
移
为
3
的
地
址
处
是
B
e
i
n
g
D
e
b
u
g
g
e
d
,
0
x
0
1
是
被
调
试
中
:
n
o
p
掉
保
存
再
调
试
。
0
x
0
4
运
行
时
解
密
运
行
时
解
密
从
过
了
反
调
试
的
地
址
0
x
4
8
E
A
9
2
开
始
:
干
扰
指
令
很
多
,
还
有
一
部
分
硬
编
码
。
一
直
单
步
,
遇
到
c
a
l
l
都
最
好
跟
进
,
这
段
代
码
中
的
c
a
l
l
不
多
:
调
用
D
l
l
F
u
n
c
t
i
o
n
C
a
l
l
得
到
E
n
u
m
W
i
n
d
o
w
s
的
地
址
:
这
里
可
以
直
接
步
过
:
然
后
出
现
V
i
r
t
u
a
l
A
l
l
o
c
,
然
后
同
样
D
l
l
F
u
n
c
t
i
o
n
C
a
l
l
得
到
V
i
r
t
u
a
l
A
l
l
o
c
地
址
,
然
后
调
用
。
分
配
了
内
存
1
,
推
断
是
要
解
密
自
身
代
码
写
入
到
地
址
:
开
始
往
这
片
内
存
写
入
内
容
,
然
后
跳
转
到
这
个
地
址
:
单
步
到
下
图
,
又
有
一
个
反
调
试
,
同
样
是
通
过
T
E
B
读
取
P
E
B
B
e
i
n
g
D
e
b
u
g
g
e
d
的
值
:
又
调
用
一
次
V
i
r
t
u
a
l
A
l
l
o
c
分
配
内
存
2
:
跟
到
下
面
又
发
现
对
P
E
B
结
构
的
访
问
,
偏
移
为
0
x
6
8
。
其
实
不
太
清
楚
偏
移
0
x
6
8
是
什
么
,
就
查
了
一
下
:
P
E
B
有
一
个
名
为
N
t
G
l
o
b
a
l
F
l
a
g
(
偏
移
量
为
0
x
6
8
)
的
字
段
,
程
序
可
以
挑
战
识
别
它
们
是
否
正
在
被
调
试
。
通
常
,
当
未
调
试
进
程
时
,
N
t
G
l
o
b
a
l
F
l
a
g
字
段
包
含
值
0
x
0
。
在
调
试
进
程
时
,
该
字
段
通
常
包
含
值
0
x
7
0
。
此
时
这
个
值
正
好
为
0
x
7
0
,
所
以
这
个
j
e
不
能
跳
。
继
续
单
步
跟
,
会
调
用
很
多
次
D
l
l
F
u
n
c
i
t
o
n
C
a
l
l
,
可
以
看
到
获
取
了
许
多
A
P
I
的
地
址
,
如
S
h
e
l
l
E
x
e
c
u
t
e
W
,
W
r
i
t
e
F
i
l
e
,
C
r
e
a
t
e
F
i
l
e
,
V
i
r
t
u
a
l
P
r
o
t
e
c
t
,
C
r
e
a
t
e
P
r
o
c
e
s
s
等
。
接
下
来
又
分
配
了
内
存
3
,
地
址
为
:
来
看
看
分
配
的
这
三
块
内
存
的
状
态
:
目
前
除
了
刚
分
配
那
个
不
能
执
行
,
其
他
的
都
可
读
可
写
可
执
行
:
往
内
存
0
x
3
4
3
0
0
0
0
赋
值
:
开
始
解
码
:
解
码
完
成
后
,
有
点
P
E
头
的
样
子
了
,
只
是
少
了
标
志
性
的
”
M
Z
”
:
调
用
G
e
t
C
o
m
m
a
n
d
L
i
n
e
W
,
以
获
取
的
路
径
为
参
数
创
建
子
进
程
:
调
用
Z
w
A
l
l
o
c
a
t
e
V
i
r
t
u
a
l
M
e
m
o
r
y
在
指
定
进
程
分
配
内
存
:
将
0
x
5
A
赋
值
给
0
x
3
4
3
6
0
0
不
完
整
的
P
E
文
件
,
后
面
还
会
写
入
’
M
’
。
然
后
调
用
Z
w
W
r
i
t
e
V
i
r
t
u
a
l
M
e
m
o
r
y
写
入
内
存
空
间
,
写
入
的
内
容
地
址
正
是
0
x
3
4
3
6
0
0
。
父
进
程
将
解
密
出
来
要
执
行
的
P
E
写
入
子
进
程
的
内
存
,
然
后
中
止
当
前
进
程
。
0
x
0
5
样
本
主
体
样
本
主
体
在
之
前
的
行
为
监
控
中
,
注
意
到
,
样
本
在
C
:
U
s
e
r
u
s
e
r
A
p
p
D
a
t
a
R
o
m
a
i
n
g
目
录
下
生
成
了
三
个
文
件
p
i
d
.
t
x
t
,
p
i
d
l
o
c
.
t
x
t
,
W
i
n
d
o
w
s
U
p
d
a
t
e
.
e
x
e
。
这
些
功
能
都
是
通
过
解
密
出
来
的
P
E
实
现
的
。
样
本
的
V
B
代
码
只
相
当
于
一
个
外
壳
,
运
行
时
解
密
、
创
建
子
进
程
、
注
入
进
程
等
。
提
取
出
来
的
这
个
P
E
载
入
E
x
e
i
n
f
o
P
E
,
发
现
这
个
程
序
是
.
N
E
T
R
e
a
c
t
o
r
类
型
的
代
码
混
淆
。
这
里
我
用
了
d
e
4
d
o
t
-
m
o
d
反
混
淆
工
具
,
不
用
工
具
直
接
动
态
调
试
也
可
以
。
去
除
反
混
淆
后
生
成
的
文
件
变
成
了
5
2
8
K
B
,
原
文
件
大
小
为
6
5
5
1
2
K
B
,
用
P
E
I
D
打
开
,
可
以
看
到
导
入
表
只
有
一
个
动
态
链
接
库
m
s
c
o
r
e
e
.
d
l
l
,
函
数
是
_
C
o
r
e
E
x
e
M
a
i
n
。
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
安全讯息