轉自https://www.tiantuowang.com/post/11780.html

樣本分析
安裝包運行后，釋放白利用文件到 %userprofile%\appdata\roaming\gkr2\目錄下

目錄結構如下:
其中%appdate%\GKR2\InstDrv.DLL 內存解密加載程序
%appdate%\GKR2\ktop.dat (Shellcode) 加密的核心木馬程序
主程序啟動后會自動加載導入表中的InstDrv.dll文件
InstDrv.dll部分
該DLL入口點并無異常
InstDrv.dll文件在初始化的過程中進行解密木馬原文
加的偏移地址0xF0BC 其實是GetModuleHandle調試函數顯示
后續(xù)函數為 然后執(zhí)行到關鍵解密加載寫入VBR模塊函數，主要是讀取本目錄下的ktop.dat文件解密執(zhí)行:
而sub_1000E7EE其實為獲取Kernel32基地址，搜PEB中LDR結果體獲取:
然后獲取函數地址
函數主要 執(zhí)行過程為
ShellCode部分
進入Shellcode后
調用DllMain函數
入口點函數為
開線程開始干活，打點上傳用戶信息
然后篡改系統(tǒng)VBR
VBR跳轉執(zhí)行
申請高端內存
判斷特征碼掛鉤處理