-
-
[原创]某Matiex drop分析
-
发表于: 2020-9-25 15:56 4072
-
不得不说,这年头想找个不失活的样本越来越难了,机缘巧合之下发现了一个drop样本,并且是内置数据解密,真是难得一见的执着,就凑合着分析提升下对C#样本的分析技能点。
MD5: 80ca7c023f86983b45096df0433a8966
SHA1: 6333e753ee7549a668b7f048646244b4151a802f
SHA256: 99a9f37b29dd440c803ea37c57a6acded495d4b49c165f66b3fbe8a427972799
CRC32: a6d3c3ea
需要的小伙伴可以根据这个hash自行搜索,也可以在附件中直接下载(解压密码 infected)。
使用exeinfo查看文件信息发现是个C#的样本,难搞了。自己也没怎么搞过C#的样本,慢慢来吧。
首先是要准备分析工具Dnspy,github中可直接下载,这一步相对简单。
在资源中发现了一张png,看似有些可疑后续应该会进行数据读取操作。
加载资源段中的png图片,看样子是准备解密该数据。
png数据以被解密成一个PE文件,Dump内存数据。
同样使用exeinfo查看信息,还是为C#程序。
一样的发现含有一个资源段,只不过没有显示出数据,大小440832字节,差不多400kb左右大小。
类命名被混淆,这里发现加载资源段中的数据。
使用内置的pass来解密加载的资源数据。
双击pass即可看到内置的pass内容。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-9-25 15:56
被Risks编辑
,原因:
赞赏
他的文章
- [原创]Rundll32的故事 15740
- [分享]关于DLL服务调试方法的尝试 9358
- [原创]流氓广告的分析与研究(原图丢失,请下载附件pdf食用更佳) 8443
看原图
赞赏
雪币:
留言: