PeDoll - 范例4：远程注入完成对钓鱼程序的网络抓包功能

step1.将样本拷贝到调试机中，执行后会弹出钓鱼界面

通过分析，发现该程序为 QQScLauncher.exe

step2.转到PeDoll控制端，输入 enumprocess 枚举进程，输入 doll di <PID> 并注入

step3.考虑到该钓鱼样本应该为邮箱钓鱼，挂载TCP连接分析脚本

step4.点击运行，然后随便在钓鱼界面数据输入数据，等待抓包

step5.切换到数据，分析smtp数据包(钓鱼作者的邮箱账号密码都在那，BASE64解码一下大家都懂得)