一次简单的C2木马分析

admin 2025年5月6日19:25:54评论1 views字数 566阅读1分53秒阅读模式

这是去年写的很简单的一次自己写的免杀马的静态分析(主要拿来练手),HW在即,之前看群里有师傅问有没有C2分析的文章,就翻出了这篇。文章里只静态分析了关键的地方,其实就能看出来大致的行为了。

过几天会再发一篇真实挖矿木马样本的实战分析,会讲到如何通过动态静态分析,在不出网的情况下提取矿池地址进行溯源。一看就会!

首先F12+shift查看字符表  字符表发现可疑字符串,可能是密钥(其实就是密钥)

一次简单的C2木马分析

双击进入 再tab

一次简单的C2木马分析

进入这里 推测为main函数

一次简单的C2木马分析

可见一些可疑的api FindResourceW推测该木马使用了资源加载

一次简单的C2木马分析

VirtualAlloc申请内存

一次简单的C2木马分析

然后sub_1400796E0 有 dwSize 参数 推测为 拷贝内存 memcpy类似函数

一次简单的C2木马分析

然后sub_140078CB0函数

一次简单的C2木马分析

跟进函数

一次简单的C2木马分析

关键如下 故推测是在对资源加载的shellcode做base64解码

一次简单的C2木马分析

到这里 跟进去

一次简单的C2木马分析

在做AES解密 还是使用的是AES-256-CBC算法 解密之后的shellcode地址赋值给了lpAddress

一次简单的C2木马分析

跟进到这里

一次简单的C2木马分析

进去之后 推测使用了堆加密

一次简单的C2木马分析

最终执行shellcode的地方就是这两个之一了

一次简单的C2木马分析

首先跟进这一个

一次简单的C2木马分析

分别跟踪两个a1参数

一次简单的C2木马分析

第一个

一次简单的C2木马分析

第二个 推测也是在做内存释放

一次简单的C2木马分析

那么就肯定是qword_1400A0FB8函数执行的shellcode了

原文始发于微信公众号(Ting的安全笔记):一次简单的C2木马分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月6日19:25:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次简单的C2木马分析https://cn-sec.com/archives/4034568.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息