今天分析一個加了變形殼的樣本
感覺不像有什麼保護
可是一運行就退出了
仔細調試了一下
發現是殼中這段代碼導致的退出
call dword ptr ds:[edi
] ;GetACP
cmp eax
A
jnz short next
push
call dword ptr ds:[edi
] ;ExitProcess
上網查了一下
GetACP() 這個 API 用於判斷目前正在生效的ANSI代碼頁
返回值為目前活動ANSI代碼頁的標識符
可能的代碼頁包括下面這些
泰語
日語
中文(簡體)
朝鮮語
中文(台灣和香港繁體)
Unicode
東歐語言
西裡爾語
美國和西歐語言
希臘語
土耳其語
希伯來語
阿拉伯語
波羅的語
印象中熊貓燒香也是用這個 API 判斷日文操作系統的
x
A
即
若操作系統是簡體中文就退出了
From:http://tw.wingwit.com/Article/program/net/201311/13903.html
