?

Log in

No account? Create an account

ewoke

держать спину прямо

Need to go deeper (c)
ewoke
https://r3mrum.wordpress.com/2017/12/15/from-emotet-psdecode-is-born/

жость. vba -> ps1 -> exe

а экзешничек-то поди на dotnet x64, да еще накрытый vmprotect :))

File Activity Watch
ewoke
http://www.nirsoft.net/utils/file_activity_watch.html




утилита, похожая на NTFileMon, но не требующая детальной настройки - с ходу начала логировать события
( более удобная; возможно, ценой меньшего функционала )

на скриншоте - среди прочих операций кусок активности Проводника по копированию на флешку. N байт прочитано в месте А, N байт записано в место Б. ( буква флешки, правда, не отобразилась )