Question

jsp导入自己编写的类无法被导入，编译好的class文件需要放到哪里去？

Answer 1

我们遇到的所有恶意文件都被严重混淆了，所以手动分析变得更加复杂。通过使用样本263dc85de7ec717e8940b1ccdd6ee119并加以处理以得到它的符串，类，方法和字段。以下是处理之后的样子：

InstallUtil.exe允许文件不从.NET程序集入口点开始执行，也就是从继承自System.Configuration.Install.Installer的类开始执行。为了便于手动分析，这个类在被分析的样本中被重命名为InstallUtilEntryClass。众所周知，静态类构造函数中的代码在程序集加载到内存中时首先执行，该恶意软件作者正是利用了这一个特性。

现在我们按照方法执行的顺序来检查恶意文件的行为。首先是FirstMainClass，因为它的构造函数被标记为关键字“static”，程序集的执行开始于它：

构造函数执行以下操作：

CheckSandboxieEnvironment()通过尝试加载SbieDll.dll库来确定文件是否在Sandboxie中运行。 如果可以加载库，则恶意进程终止;

CheckVirtualBoxEnvironment()搜索属于VitrualBox的vboxmrxnp.dll库。 如果可以找到这个库，这个恶意进程也会终止;

AddResourceResolver()添加一个处理资源加载事件的方法。 此方法将通过Deflate算法打包的程序集从特定资源中解包，并将程序集加载到内存中;