今天无聊给一朋友讲解QQ盗取原理，从网上找了一个工具 “明小子QQ密码特工”结果发现这个软件有后门。下面就让我带着大家来分析一下。

　　首先我们用nod32来查一下有没有毒。图1

　　看到了吧没有病毒。我们把监控打开在运行看看图2

　　看到了吧 NOD32检测到了病毒。为了确认一下。我再用‘木马辅助查找器’的文件监视功能来检测下。图3

　　接着我们用peid查下123.exe. 图4

　　EP段.nsp1经常搞免杀的应该知道这是北斗加的壳，我们再看看区段vmp 图5

　　这个一看就是用vmprotect做的免杀。至于123.exe是什么木马咱门就不继续分析了。

[1] [2] [3] [4] 下一页