这是去年写的很简单的一次自己写的免杀马的静态分析(主要拿来练手),HW在即,之前看群里有师傅问有没有C2分析的文章,就翻出了这篇。文章里只静态分析了关键的地方,其实就能看出来大致的行为了。
过几天会再发一篇真实挖矿木马样本的实战分析,会讲到如何通过动态静态分析,在不出网的情况下提取矿池地址进行溯源。一看就会!
首先F12+shift查看字符表 字符表发现可疑字符串,可能是密钥(其实就是密钥)
双击进入 再tab
进入这里 推测为main函数
可见一些可疑的api FindResourceW推测该木马使用了资源加载
VirtualAlloc申请内存
然后sub_1400796E0 有 dwSize 参数 推测为 拷贝内存 memcpy类似函数
然后sub_140078CB0函数
跟进函数
关键如下 故推测是在对资源加载的shellcode做base64解码
到这里 跟进去
在做AES解密 还是使用的是AES-256-CBC算法 解密之后的shellcode地址赋值给了lpAddress
跟进到这里
进去之后 推测使用了堆加密
最终执行shellcode的地方就是这两个之一了
首先跟进这一个
分别跟踪两个a1参数
第一个
第二个 推测也是在做内存释放
那么就肯定是qword_1400A0FB8函数执行的shellcode了
原文始发于微信公众号(Ting的安全笔记):一次简单的C2木马分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论