本文分析了一个基于 NSIS 安装包封装的恶意样本。样本运行后会释放 hack.exe 和 payload.exe 两个核心文件：其中 hack.exe 由 Python 编写并打包成 EXE，主要伪装成系统补丁安装程序，向用户展示虚假的勒索与感染提示信息，但本身并不执行真实的文件加密；payload.exe 则承担真正的恶意逻辑，其内部实现了一个自循环命名管道 IPC 框架，将内嵌数据读取、解码、修补内存权限后通过新线程执行。进一步分析发现，该程序使用 4 字节循环 XOR 还原出一段 ShellCode，最终加载并执行的是 Cobalt Strike 载荷，并与 192.168.2.17 建立通信。

本文针对一个伪装成 PDF 的钓鱼样本展开分析。样本最初由 Python 编写并打包为 EXE，运行后会正常打开 PDF 诱导受害者放松警惕，同时在后台释放并执行恶意程序。通过提取 EXE 中的 PYC 文件、还原 Python 脚本、解码内嵌的 PDF 与二阶段 EXE，进一步确认其为典型的“文档诱饵 + 木马投递”攻击链。随后针对二阶段程序继续分析，结合 PyInstaller 解包特征、临时目录 _MEI 文件捕获、加密载荷提取与解密逻辑还原，最终定位到其会将解密后的 ShellCode 注入进程执行，并加载 Cobalt Strike 木马与远程 C2 通信。

Cobalt Strike 生成的 Shellcode 主要包括 Stager 和 Stageless 两种类型。

本篇文章主要分析 Cobalt Strike 生成的 Stager 类型的 Shellcode。

本文通过 C 语言从零开始实现一个简单的 HTTP 服务端。这对后续在恶意软件的网络通信分析及在 IOT 漏洞挖掘的学习中都有所帮助。

新手的话，建议在 IDE 环境（如 CLion）下完成后续代码的编写。这样可以在使用一些库函数时，直接查看函数的传参及返回值，方便理解函数及代码编写。

本节为轩辕的编程宇宙公众号《从零开始学逆向》的“IAT Hook”小节的学习笔记。详细课程内容请自行 跳转 加入查看。

在之前的 Maldev 开发课程中，我们已经深入学习过对 PE 文件的结构解析以及导入表（Import Table）的相关机制。这里的 IAT Hook 本质上是一种基于“间接地址寻址”原理的执行流劫持技术。