其实这篇文章是讲讲最简单的花指令，这标题是写到后面发现 360 爆木马，所以有此题目。

开始之前

本文作者：x-encounter

0x01 PE 病毒简介

通俗的讲，PE 病毒就是感染 PE 文件的病毒，通过修改可执行文件的代码中程序入口地址，变为恶意代码的的入口，导致程序运行时执行恶意代码。

第一次写病毒分析的文章，之前表哥丢给我一个样本断断续续分析了好几天才搞明白，如有任何错误，还请各位多加指点

0x01 样本概述

样本名: 1.exe

MD5: 612974dcb49adef982d9ad8d9cbdde36

SHA1: b817e361bd0cc1819d7f6a1189f0f5d56ed48721

本文作者：Cherishao（信安之路应急小组组长）

Hacker 取得了我们系统权限后通常会做那些事情？植入 shell、恶意软件、留持久化的后门。在当下的 APT 事件中，远控木马扮演着一个重要的角色，这些木马通常具备着如下功能：远程桌面、键盘记录器、下载和运行程序、文件和注册表等的各种操作，通过远控木马上线记录 Hacker 甚至能知道你什么时间段在做什么事情，听起来是有那么一点不可思议，但事实就是如此。

在诸多远控木马中，针对 macOS 的 RAT 还是比较少见，今天看到了卡巴斯基实验室的一篇关于 Calisto 恶意软件（远程访问木马 RAT）分析的研究性文章，学习了下分析思路并将其进行了翻译，作者英语水平及理解能力有限，如有不适之处，请斧正：）

本文作者：x-encounter（来自信安之路作者团队）

0x01 样本概述

样本名称: 7.exe

MD5: 4865fa85d9ee28bfab97d073a3dde8a3

SHA1: 3f738735bb0c5c95792c21d618eca8c0d5624717

分析环境及工具: winxp sp3、IDA、OD、火绒剑