来源:
https://app.any.run/tasks/d3e2123b-00c1-4cbf-80e0-4cb9d9b7e698
文件是pdf图标,扩展名为.exe
基本信息:
md5,D5E45A9DB7F739979105E000D042F1FE sha1,99C6C6FB3FF79680F8CEFEAEE0B019993E05FA0D sha256,AAC3B1221366CF7E4421BDD555D0BC33D4B92D6F65FA58C1BB4D8474DB883FEC file-size,830976 (bytes) imphash,78AC6F65EF1D7A8BC73FDF98454EA32E signature,BobSoft Mini Delphi -> BoB / BobSoft file-version,6.1.11.1204 description,Console Windows Service cpu,32-bit
程序用Delphi编写,未加壳加密。
delphi程序带有相关的GUI组件。
找到Form1创建函数,Form1加载执行此函数
无参数启动exe,先判断当前年份是否在文件名中。文件名带有2020。如果当前年份在文件名中无法找到,就退出程序。
字符串都是反的,后续反转使用。
反转后拼接路径,拷贝自身到 %APPDATA%\Service\随机\sqlservice.exe