病毒分析-资源释放

本篇来分析一下自己写的资源释放的小demo。

打开程序，发现没有任何改变，没有明显的行为。

使用die工具查一下文件的基本信息

查看一下导入表，可以看到FindResource等函数，这几个函数是用来操作资源的，猜测有可能是释放了一个资源节中的资源到电脑上。

还可以看到fwrite，fopen这样的函数，那么应该就是把资源释放到了一个路径中去。

可以使用resource hacker来查看程序中的资源，如图可以看到资源信息“this is a test”

再使用IDA进行查看，可以很清楚的看到所有的流程，并且看到程序将释放的文件存放在了C:\Windows\System32下。

因为程序是32位程序，系统是64位，所以资源会被释放到SysWOW64文件下。因为此文件夹是用来处理运行在64位系统上的32位程序的。

到路径下查找free.txt即可找到