[求助]关于伪装成todesk的样本的最后一个pe的分析，需要各位佬的帮助-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
EX呵呵雪币： 396 活跃值： (5191) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 234 粉丝 6 关注私信	EX呵呵 2 楼用了这个项目不知道加载了个什么pe文件 d1eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5i4y4Z5k6i4u0W2P5X3q4V1k6g2)9J5c8Y4m8W2i4K6g2X3N6r3!0Q4y4h3k6K6K9r3g2D9L8r3y4G2k6r3g2Q4x3V1k6T1L8r3!0T1i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3L8r3!0S2k6r3g2J5i4K6g2X3N6U0u0Q4x3V1k6H3k6h3I4G2j5h3c8W2M7W2)9J5k6h3y4H3M7l9`.`. 然后里面还利用golang自带的文件打包给你打包了winpty 4deK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6J5M7s2u0A6j5$3S2S2M7X3c8Q4x3V1k6%4K9h3&6H3N6s2V1`. 2025-3-1 22:59 0
EX呵呵雪币： 396 活跃值： (5191) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 234 粉丝 6 关注私信	EX呵呵 3 楼这程序就像被ollvm了一样，乱七八糟的 2025-3-1 23:06 0
aaa4dr 雪币： 495 活跃值： (542) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 8 粉丝 8 关注私信	aaa4dr 4 楼 EX呵呵用了这个项目不知道加载了个什么pe文件 cfdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5i4y4Z5k6i4u0W2P5X3q4V1k6g2)9J5c8Y4m8W2i4K6g2X3N6r3!0Q4y4h3k6K6K9r3g2D9L8r3y4G2k6r3g2Q4x3V1k6T1L8r3!0T1i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3L8r3!0S2k6r3g2J5i4K6g2X3N6U0u0Q4x3V1k6H3k6h3I4G2j5h3c8W2M7W2)9J5k6h3x3`. ... 感谢师傅提供的信息，前面的程序都挺正常的，唯独最后的载荷奇怪得很 2025-3-1 23:26 0
heards 雪币： 29 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	heards 5 楼看了sub_DD0D60这个函数，结合vshell 和unixpacket 字符串推测实现了跨平台远程shell功能，通过cmd /c 执行命令。 2025-3-7 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
EX呵呵雪币： 396 活跃值： (5191) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 234 粉丝 6 关注私信	EX呵呵 2 楼用了这个项目不知道加载了个什么pe文件 d1eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5i4y4Z5k6i4u0W2P5X3q4V1k6g2)9J5c8Y4m8W2i4K6g2X3N6r3!0Q4y4h3k6K6K9r3g2D9L8r3y4G2k6r3g2Q4x3V1k6T1L8r3!0T1i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3L8r3!0S2k6r3g2J5i4K6g2X3N6U0u0Q4x3V1k6H3k6h3I4G2j5h3c8W2M7W2)9J5k6h3y4H3M7l9`.`. 然后里面还利用golang自带的文件打包给你打包了winpty 4deK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6J5M7s2u0A6j5$3S2S2M7X3c8Q4x3V1k6%4K9h3&6H3N6s2V1`. 2025-3-1 22:59 0
EX呵呵雪币： 396 活跃值： (5191) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 234 粉丝 6 关注私信	EX呵呵 3 楼这程序就像被ollvm了一样，乱七八糟的 2025-3-1 23:06 0
aaa4dr 雪币： 495 活跃值： (542) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 8 粉丝 8 关注私信	aaa4dr 4 楼 EX呵呵用了这个项目不知道加载了个什么pe文件 cfdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5i4y4Z5k6i4u0W2P5X3q4V1k6g2)9J5c8Y4m8W2i4K6g2X3N6r3!0Q4y4h3k6K6K9r3g2D9L8r3y4G2k6r3g2Q4x3V1k6T1L8r3!0T1i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3L8r3!0S2k6r3g2J5i4K6g2X3N6U0u0Q4x3V1k6H3k6h3I4G2j5h3c8W2M7W2)9J5k6h3x3`. ... 感谢师傅提供的信息，前面的程序都挺正常的，唯独最后的载荷奇怪得很 2025-3-1 23:26 0
heards 雪币： 29 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	heards 5 楼看了sub_DD0D60这个函数，结合vshell 和unixpacket 字符串推测实现了跨平台远程shell功能，通过cmd /c 执行命令。 2025-3-7 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复