Winlogbeat 是 Elastic 公司开发的一款轻量级日志采集器，专门用于收集 Windows 事件日志，并将其发送到 Elasticsearch、Logstash 等目标存储或处理系统。以下是使用 Winlogbeat 采集 Windows 日志并进行分析的详细步骤。

前一阵微步下载样本开始收费，算是又断了一个很好的白嫖途径。目前工作需求是不定期获取一批不同家族样本，看了看微步基础会员每天5次的下载限制，我默默把微步网页点了X，选择其他网站进行白嫖。

文章目录前言分析前言前段时间的O泡果奶病毒火了一把，虽然平时很少看android，却也来了兴趣，大致看了一下，也搜了搜，知道了关键点在lua上，可惜之前没接触过lua，当时并没有把脚本解出来。今天看到了一个lua解密的帖子，就试了下，没想到真的成功了，在此作一下记录吧分析android目录结构关键的lua逻辑目录关键文件是main.lua使用编辑器看也不是luac文件当我看到这个帖子时，翻看了下a

文章目录简要说明自身还原过程代码分析代码还原简要说明前段时间遇见了一个被Spreadoc病毒感染的winrar安装包，样本运行后将自身还原然后执行其他恶意行为，由于样本代码量也比较大，我也只是分析了它exe还原的过程。它的还原过程还是比较有意思的，还运用了一些反沙箱反虚拟机的技术，因此就整理了一下。自身还原过程SHA1:d1b231e2c71248b61984f3052257d352b0846d8

准备工作安装了windows操作系统的虚拟机windbg，需要与被调试机位数一样VirtualKD 用于搭建双机调试环境第一步 VirtualKD 环境介绍将 VirtualKD双击解压第二步 打开虚拟机将vminstall.exe在虚拟机中安装，重启第三步 配置Windbg运行vmmon.exe，找到Windbg的路径第四步 连接到虚拟机vminstall.ex...