樣本托入ghidra:

剛開始對時候就一個循環拖慢引擎，接著用線程同步來判斷是否在殺軟引擎里面，注意：在虛擬機里面同步是可以完成的，也就是_n==4會成立，在殺軟引擎里面往往Sleep函數會馬上返回。

接下來去Kernel32動態庫找一個不存在的函數，如果沒找到，判斷不在殺軟引擎里面。
加載一個不存在的dll,如果返回0，則不在引擎里面。
可以看的里面還用了很多無用的循環來拖慢虛擬機。

最后檢測完后跑開始跑惡意代碼。

總結

以上是生活随笔為你收集整理的反杀软引擎样本分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。