安天技术文章汇编.pdfVIP

原创沉淀分享

技术文章汇编（三·五）

恶意代码分析卷

【恶意代码加载器专题分册】

安天实验室

2025年07月

（内部资料仅用于行业内部技术交流使用）

使用

《安天技术文章汇编》的

原则与宗旨

我的一位同事曾说：“之所以选择网络安全，是因为这是一个爱憎分明的、有原则的事业。”

这句话久久地回响在我心头。我想，于当今浮躁喧嚣之中，能够做一件有简单原则的事情，虽然

可能碰壁、虽然可能贫寒，但未尝不是一种幸福。《安天技术文章汇编》（以下简称汇编）其实

只是安天研发工作中的一个“副产品”，对于编辑小组成员来说，也只是大家的课余副业。但我

们也希望找到一个清晰的原则和宗旨，当我细细回看之前几期《汇编》时，有三个词汇很强烈的

跃入脑海：原创、沉淀、分享。

原创

原创是《汇编》的立足点，正如安天团队把创造作为在安全业界的立足点一样。收录入《汇

编》中的文章多数是同事们从工作经验出发所撰写的，同时也包括了少数合作研究团队成员的友

情供稿。此外，同事们也会定期翻译相关领域的国外文献，以作为每期对应领域的资料补充。作

为一个草根化的工程化研发团队，我们不讳言我们会带有一点点骄矜的自我，这种自我来自于我

们持续对创造的追求。

沉淀

沉淀是每期《汇编》的形成原则，《汇编》第一卷是2006年12月出现的，起初仅是安天技术

内刊《盾牌》在一段时间内的文章合订本，这种形式仅延续了两期，虽然它具有一定的时效性，

但内容比较混杂，每期没有明确的主题和方向，而且篇目之间缺少关联和相互补充。在2010年，

我们发现我们确实没有精力来持续维护一本技术季刊，但却可以等待更长时间，把我们在一个领

域的原创和翻译文献编纂成一册，形成专题化的分册，这样或许更具有资料价值。

分享

分享是《汇编》出刊的目的，从最开始的内部分享到小批量的与业内同行分享，我们走着更

开放和自信的路。我们知道在我们的读者中有我们商业上的竞争对手，我们也目睹过其他厂商在

资料中大段抄袭《汇编》文献的情况。但我们坚信网络安全并不神秘、网络安全技术不应是讳莫

如深的“圣器”，而应该被更多人知晓和了解。封闭和保守，无助于产品和技术的进步和发展，

在安全威胁丛生的大时代，安全企业和团队更需要并肩携手。

2013年10月

序言

FOREWORD

安天技术文章汇编各卷情况

（截止到2025年7月）

1《技术文章汇编》（一）、（二）、（三·一）是安天早期技术文章合集，其中的观点和内容还尚不成熟，仅供内部参考学习。在以主题聚合型的

汇编出版后，前三卷已不再更新，我们已将其中有价值的文章汇入之后相应主题的汇编中，与大家分享。

目录

CONTENTS

XLoader能够窃取多种浏览器、邮件客户端和Windows凭证管理器中保存的凭证信息，并能够获

取桌面截图，记录剪贴板内容以及键盘按键，对用户隐私构成了严重威胁。此外XLoader加载

器还能够执行来自攻击者的指令，进一步下载和执行其他恶意程序，给用户系统安全带来额外

风险。

DBatLoader的加载过程分为两个阶段，其中第一阶段主要用于规避反病毒引擎的检测，并在内

存中解密运行第二阶段载荷。在第二阶段过程中，DBatLoader加载器采用“DDR”（DeadDrop

Resolvers）技术，从公共代码托管网站上下载并解密待投递的恶意代码家族，而后通过多种手

法将其注入到其他程序内以实现隐蔽运行。

SmokeLoader主要通过钓鱼邮件进行传播，并通过带有恶意VBS宏的doc文档进行运行。

SmokeLoader本