здесь. И пос­ледняя осо­бен­ность каса­ется «закал­ки» псев­дослу­чай­ного чис­ла. В изна­чаль­ном алго­рит­ме пред­полага­ется сна­чала битовый сдвиг на кон­стан­ту, а затем про­изво­дит­ся побито­вое логичес­кое И. Здесь же порядок изме­нен, что пов­лияло на кон­стан­ты, исполь­зуемые для этой опе­рации. Так, кон­стан­та 0xefc60000 здесь пред­став­лена в виде зна­чения 0xFFFFDF8C. За­кали­вание псев­дослу­чай­ного чис­ла ShadowPad Light 2021 ShadowPad Light — облегчен­ная вер­сия ори­гиналь­ного ShadowPad без обфуска­ции кода. Нес­мотря на то что этот семпл очень похож на ори­гиналь­ный ShadowPad, у него есть свои осо­бен­ности. Загрузка ShadowPad Light пос­тавля­ется тре­мя фай­лами: hpdigital.exe — легитим­ный исполня­емый файл, име­ющий под­пись ком­пании HP; hpqhvsei.dll — вре­донос­ная биб­лиоте­ка, заг­ружа­ется пос­редс­твом тех­ники DLL hijacking; hpqlpvdt.tmp — шиф­рован­ная наг­рузка, которая содер­жит рас­паков­щик и полез­ную вре­донос­ную наг­рузку, так­же хра­нит в себе пер­воначаль­ный необ­ходимый для работы набор модулей.