FakeAPP/Injector 1x

UNknownOoo

https://wwawi.lanzouq.com/iPOOt3h6sm7e

莒县小哥

xiaozhu009

zhuzhu009 2025.10.5
没扫出来

dd2006

华为 kill
SEP kill
瑞星 miss
红伞 miss

superLYT

双击ATD

WGC_ZY

ESSP 触发LiveGuard然后kill

jxfaiu

双击

微微的笑

iKun通过QQ闪传分享了【V5RD6W.zip】
链接：https://qfile.qq.com/q/DiT4YuKoG6

wowocock

这类有个通用的特征就是EXE是个无效的PE，入口点是无效指令。执行流程在他导入的加壳的随机名字模块中，
exe：
.text:00000001400288C4                 public start
.text:00000001400288C4 start           dd 7558188Fh            ; DATA XREF: .pdata:000000014009A07C↓o
.text:00000001400288C8                 dq 0ADF75D45F0FAA089h
.text:00000001400288D0                 db 34h, 45h, 74h, 0A0h, 7Ah, 65h
.text:00000001400288D6 word_1400288D6  dw 4281h                ; DATA XREF: .pdata:000000014009A07C↓o
.text:00000001400288D8                 dq 0C080CF7F4066982Eh, 51CAD46F33313370h, 5254A5EF83CA3CB9h
.text:00000001400288F0                 dq 17F5890DE2955588h
导入模块：
.3Bq:00000001803D7C7D DllEntryPoint   proc near               ; CODE XREF: .3Bq:00000001804611BF↓j
.3Bq:00000001803D7C7D                 call    loc_18047EECC
.3Bq:00000001803D7C7D DllEntryPoint   endp
.3Bq:00000001803D7C7D
.3Bq:00000001803D7C82
.3Bq:00000001803D7C82 loc_1803D7C82:                          ; CODE XREF: sub_180446FE8+11↓p
.3Bq:00000001803D7C82                 mov     qword ptr [rsp+0], 0FFFFFFFFFEEBB56Ch
.3Bq:00000001803D7C8B                 call    loc_1804B9A21
.3Bq:00000001803D7C90                 cmp     al, 0D8h
.3Bq:00000001803D7C92                 jnp     short loc_1803D7D05
.3Bq:00000001803D7C94                 jnz     short loc_1803D7CCA
.3Bq:00000001803D7C96                 sbb     eax, 0DE4ECCF6h
.3Bq:00000001803D7C9B                 sbb     al, 1Dh
.3Bq:00000001803D7C9D                 test    ah, 0A6h
.3Bq:00000001803D7C9D ; ---------------------------------------------------------------------------
.3Bq:00000001803D7CA0                 db 0C5h
.3Bq:00000001803D7CA1                 db 0CCh
.3Bq:00000001803D7CA2                 db  1Dh
.3Bq:00000001803D7CA3                 db 0F6h
.3Bq:00000001803D7CA4                 db 0CCh
.3Bq:00000001803D7CA5                 db  46h ;
.3Bq:000000018047EECC loc_18047EECC:                          ; CODE XREF: DllEntryPoint↑p
.3Bq:000000018047EECC                 push    r9
.3Bq:000000018047EECE                 pushfq
.3Bq:000000018047EECF                 mov     r9, 0C6873F906A2F0403h
.3Bq:000000018047EED9                 shl     r9d, 7Ch
.3Bq:000000018047EEDD                 push    rdx
.3Bq:000000018047EEDE                 mov     rdx, 0F0371D8D6C324106h
.3Bq:000000018047EEE8
.3Bq:000000018047EEE8 loc_18047EEE8:                          ; CODE XREF: .3Bq:00000001804611D8↑j
.3Bq:000000018047EEE8                 test    r9b, 0A0h
.3Bq:000000018047EEEC                 mov     qword ptr [rsp+18h], 74AB9602h
.3Bq:000000018047EEF5                 mov     r9, [rsp+10h]
.3Bq:000000018047EEFA                 jge     loc_1804611B5
.3Bq:000000018047EF00                 lodsb
.3Bq:000000018047EF01                 mov     r12, 0CC8C22E5187A450Fh
.3Bq:000000018047EF0B                 sbb     [rbx+8], edi
.3Bq:000000018047EF0E                 or      dh, cl
.3Bq:000000018047EF10                 jbe     short loc_18047EF45
.3Bq:000000018047EF12                 or      eax, 0CC8C862Ch
.3Bq:000000018047EF12 ; ---------------------------------------------------------------------------
.3Bq:000000018047EF17                 db  27h ; '
.3Bq:000000018047EF18                 db  8Dh
.3Bq:000000018047EF19                 db 0D4h
.3Bq:000000018047EF1A                 db  86h
.3Bq:000000018047EF1B                 db  8Ch
.3Bq:000000018047EF1C                 db 0CCh

心醉咖啡

360