Handbrake是一个macOS上的视频转码器，结果他们的官网被黑客入侵后，换上了他们自己含有木马的应用，这让我不由的想起了去年三月的一个恶意软件——KeRanger，看来黑掉官网->替换木马程序->感染这条路也是让人防不胜防啊~ 该木马由今年5月中旬被Patrick分析，这里主要记录一下自己的分析学习的流程

该木马是由于黑客入侵了Handbrake的官网之后被替换的，这首先就让很多以为在官网下载就不会出事的人们尴尬了许多，下载安装的时候还算正常

OSX / Proton.B主要做了以下几件事：

我们先来安装这个Handbrake.dmg文件

打开之后可以看到正常打开了这个视频转码器，但是过了几秒之后，突然弹出一个弹框

总之感觉莫名其妙，先乱输一个密码试试

结果发现，在Dock中很诡异的出现了几秒钟终端的身影，看来果然不安好心

提示密码错误后，我们继续输入正确密码，看看到底有什么花样

结果当然又调用了终端，然后在桌面上就基本上没什么改动了

按理来说，外部平静的时候，其内部必然早已风起云涌，那就让我们走的再近一点吧

我们首先打开活动监视器，可以看到出现了一个新的进程--activity-agent，猜想肯定是之前输入了管理员密码之后的一系列操作运行了它

当我们打开应用程序的Resources目录看一看有没有什么奇怪的东西

表面看起来一切正常，但是仔细一看，在nib文件中，其他的文件都是几k，而这个HBPlayHUDMainController.nib文件要一点多兆，果然没有表面上的那么和谐~

我们在命令行中看一看，原来是个zip文件，那这样一来，我们之前输入了密码之后原程序做了一些操作来解压这个文件，既然是程序启动时做出的操作，又因为这个程序是用oc写的，那我们应该在AppDelegate中寻找答案！

我们一路找下去，看到一个[AppDelegate comrad:]，其中有bin/sh，这是要做一些编译？？我们动态调试进去先看看

结果发现了pgrep -x activity_agent && echo Queue.hbqueue这条命令，意思就是当程序运行时检查系统中有没有activity_agent这个进程，有的话输出队列，没的话解压安装。可是我们又不知道密码怎么解压？别急，我们可以尝试直接把那些命令字符串dump下来。

dump之后我们可以看到一些命令，是说要去运行/tmp中的名叫HandBack的程序？？

别急，我们先解压看看

与此同时，在活动监视器中我们可以看到出现了这个进程HandBack，打开后果然印证了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课