Три слоя XOR-шифрования, два VirtualAlloc и NtQueryInformationProcess на ProcessDebugPort — реальный сэмпл из инцидента. Коллега параллельно смотрел ELF-дроппер того же семейства в GDB. Один сэмпл, два отладчика, два принципиально разных...Динамический анализ бинарных файлов: GDB, x64dbg, WinDbg — от брейкпоинта до обхода антиотладки
Источник: codeby.net