首页
社区
课程
招聘
[原创]某Matiex drop分析
发表于: 2020-9-25 15:56 4072

[原创]某Matiex drop分析

2020-9-25 15:56
4072

不得不说,这年头想找个不失活的样本越来越难了,机缘巧合之下发现了一个drop样本,并且是内置数据解密,真是难得一见的执着,就凑合着分析提升下对C#样本的分析技能点。

MD5: 80ca7c023f86983b45096df0433a8966
SHA1: 6333e753ee7549a668b7f048646244b4151a802f
SHA256: 99a9f37b29dd440c803ea37c57a6acded495d4b49c165f66b3fbe8a427972799
CRC32: a6d3c3ea
需要的小伙伴可以根据这个hash自行搜索,也可以在附件中直接下载(解压密码 infected)。

使用exeinfo查看文件信息发现是个C#的样本,难搞了。自己也没怎么搞过C#的样本,慢慢来吧。
图片描述
首先是要准备分析工具Dnspy,github中可直接下载,这一步相对简单。

在资源中发现了一张png,看似有些可疑后续应该会进行数据读取操作。
图片描述
加载资源段中的png图片,看样子是准备解密该数据。
图片描述
png数据以被解密成一个PE文件,Dump内存数据。
图片描述
同样使用exeinfo查看信息,还是为C#程序。
图片描述
一样的发现含有一个资源段,只不过没有显示出数据,大小440832字节,差不多400kb左右大小。
图片描述
类命名被混淆,这里发现加载资源段中的数据。
图片描述
使用内置的pass来解密加载的资源数据。
图片描述
双击pass即可看到内置的pass内容。
图片描述


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-9-25 15:56 被Risks编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//