PeDoll - 范例4:远程注入完成对钓鱼程序的网络抓包功能

step1.将样本拷贝到调试机中,执行后会弹出钓鱼界面

通过分析,发现该程序为 QQScLauncher.exe

step2.转到PeDoll控制端,输入 enumprocess 枚举进程,输入 doll di <PID> 并注入

step3.考虑到该钓鱼样本应该为邮箱钓鱼,挂载TCP连接分析脚本

step4.点击运行,然后随便在钓鱼界面数据输入数据,等待抓包

step5.切换到数据,分析smtp数据包(钓鱼作者的邮箱账号密码都在那,BASE64解码一下大家都懂得)

转载请务必保留本文链接和注明内容来源,并自负版权等法律责任。
一网盟 » PeDoll - 范例4:远程注入完成对钓鱼程序的网络抓包功能

Leave a Reply

分享是种美德,好人一生平安

立即查看 了解详情