(样本为office2003恶意代码样本) 更多文章在https://www.jianshu.com/u/314d85d378a7
发现其动作是释放PE文件: 上图中标示出来的文字为:它(hkcmd)的动作是File_Touch(创建文件),创建的文件为datac1en.dll 其他的行为动作类似推理!