学习笔记。

前言：第一次接触，朋友发给我的。

取自：22年信息安全管理与评估二阶段。

要求：

下载 查壳

32ida打开。

先上微步云沙箱看看：

样本报告-微步在线云沙箱 (threatbook.com)https://s.threatbook.com/report/file/157ff2d794408753c3b2f063b9f627a61c3a8b700e997691131498d9a3a15408

一般实战时，大可以从这些地方进行出发。去分析用了哪些API 做了什么。

最好在虚拟机进行分析。。

正题，回归做题。

第一次不确定怎么办？

创建进程的API

跟进参数。

跟踪就好

（其实，我感觉是9，，因为call XXX函数才是调用 r是读 p才是执行）。

关于休眠函数一般来讲 都是要跟踪sleep的

我们直接找sleep就好。

点p就好 r是读 没用。

跟进看看。

判断方法：

大致猜测这是属于报错退出的sleep。

所以找关键就行了。

（答案给的三十。。 我不知道。。。后面再看吧 我感觉是10 。。。）

我自己做的：

答案：（别人）