-
-
[原创]南充茶坊笔记
-
发表于: 2019-12-9 09:25
-
这道题么打出来,最近几天出去了,发现看雪工作号wp已经帖出,看了下算法,厉害...:
https://bbs.pediy.com/thread-256272.htm
后续分析我就中断了,但是笔记还是发出来留一下:
南充茶坊:
南充是个好地方,茶坊更是好生不错,虽然没去过,但闻三月刚好。双击后就已知在其它路径下执行了CM.exe,但是还是想分析一下主程序,要不作者就白写了:
Win1CallBack函数:
创建RarSFX0:
WinRAR 解压方式:
setup=cm.exe TempMode Silent=1 Overwrite=1
ShellExecuteExW执行了CM.exe:
CM.exe
压缩壳展开:
第一阶段解压PE:
加载IAT:
PE DUMP:
动态跟踪后,释放了Python静态编译库,不知所然:
一路到CreateProcess(),创建新进程附加新CM.exe,有意思的是全是Python模块进行调用:
综合上述有两种可能,C++调用Python,第二种Python打包成exe(pyinstaller以前分析Xbash恶意软件,恰好分析过Xbash恶意软件,学习过pyinstaller跨平台恶意代码),程序在Temp下释放的静态Py环境,_MEIXXXX则是最好的证明。
pyinstaller还原:
最后于 2019-12-9 09:30
被一半人生编辑
,原因:
