测试示例:
HASH: cb0a55c658a275ab609fca09035d5360588f762f7d950b92fba20f498eb5c0fd
配置文件里面有密文:
传统方案是动态调试端点获取,或者拿到解密算法抽象出来解密,这里介绍使用powershell,,,解密类和方法:
反射加载目标引用:
[Reflection.Assembly]::LoadFile("cb0a55c658a275ab609fca09035d5360588f762f7d950b92fba20f498eb5c0fdmalware")
调用其方法,传入密文,拿到明文。
[Stub.AlgorithmAES]::Decrypt("e0zEe6IfxynsAwS9BhJyG1PrDnNgds5K0ezORbApM2Q=")
其他端口信息等也可以解出来:
原文始发于微信公众号(TIPFactory情报工厂):TIPs | Powershell 反射加载解密malware中字符串
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论