RWhackA远程线程注入式病毒分析（H&NCTF2024）

wp拜读：[原创]H&NCTF RE 部分题解（https://bbs.kanxue.com/thread-281801.htm#msg_header_h2_0）涉及到的知识点：IDA动态调试IDAPython脚本用快照对进程、模块、线程进行遍历（代码段）病毒感染实现(PE infector)DLL文件分析发现保护器：保护器: Enigma Virtual Box脱壳失败：分析main函数逻辑开始手动静态分析：静态分析发现有很多內存访问异常点，均出自函数调用上，可能是程序重定位时产生的错误，没办法只能动态调试了。动调验证MEMORY爆红原因我想知道为什么会动态调试才出现真实的地址，找到存放地址的变量去下一个断点：下个读写断点：再去看是被哪个函数写入的值。成功找到！毫无疑问这个正确的地址是由保护器Enigma Virtual Box动态写入的。发现存在一个非官方库的dll文件，猜这其实是题目要给的附件只是被打包进了exe！动调DLL文件的Local_Hide函数继续动态调试， ………………………………