API断点法:
1 .文件相关API :
1 .获取创建文件w文件句柄
2.delete文件w
3 .版权文件w
4 .使用4.FindFirstFileW遍历文件
5.GetFileSize
6 .自述文件
7.shell32.ExtractIconExW文件图标提取
8.SetFileAttributesW文件属性设置为保存
9 .写入文件
10.LoadLibraryA加载动态链接库
2.命令执行或者启动进程:
1.shell32.ShellExecuteExW
2.WinExec
3 .创建流程
4 .创建权限
5.CreateService
(注册表可能会在WinExec上进行修改。)
3.内存申请API函数(解密相关):
1 .虚拟角色
2.RtlAllocateHeap
3.RtlZeroMemory清理创建的内存
4.消息机制:
1.GetMessageA
2 .转换消息
3 .在od的w窗口中找到Winproc函数并显示消息类型的case
4 .创建4.CreateWindowExA恐吓窗口
5.FindWindow隐藏任务栏