exe分析（一）

首先使用工具PCHunter32.exe，验证的是否存在数字签名，没有存在数字签名的被标注成粉紫色

可以看到名为Ias的动态链接库C:WINDOWSsystem32Iasex.dll疑似恶意程序

使用procexp.exe查看pid的16进制值，点击下图标签Find–>Find Mandle or DLL

输入Iase，查找相关的dll文件

再使用IDA6.8在Import搜索名为connect的函数，获得系统函数地址10012490，但这并不是调用的地址哦

双击点进去，发现该函数所占据的空间地址

然后按下Ctrl+x，跳进调用地址看看

发现调用地址10001DE4

百度搜索“connect msdn”,点击第一个

关于connect函数我们可以登录官方网址

其中还有个SOCKET的地址，再看看其函数结构

然后。。。。。。按下Ctrl+g,输入地址，进行跳转

可以看到，得到最终的结果50 AC 10 1A 26

1
2
3
4
5

hex(50)------>80
hex(AC)------>172
hex(10)------>16
hex(1A)------>26
hex(26)------>38

所得ip也就是172.16.26.38，端口80

我们再看看堆栈段，这样就很明显了啦