[原创]一个藏在正常程序下的C#木马样本分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一个藏在正常程序下的C#木马样本分析

发表于: 2021-4-28 10:03 14403

[原创]一个藏在正常程序下的C#木马样本分析

还我六千雪币

2021-4-28 10:03

14403

本文章只分析了木马加载的过程，不分析木马功能

护网期间一个朋友发给我的样本让我帮忙分析一下

ExeinfoPe查了一下是一个C#的程序，然后加了个混淆直接de4dot处理一下拉入dnspy

20210415111921
反编译之后看没发现什么http请求，启动函数运行了一个frmMain窗体，看了看代码什么的发现是一个正常的窗体程序，什么也没发现

动态调试

20210415112425
程序肯定是有问题的，于是就动态调试发现，这个程序是一个加载程序，他找了一套正常程序的源码重写了一个属性的set函数在set函数中，从资源文件拿到dll然后加载dll

利用反射加载dll之后反射调用函数

method.Invoke(0, parameters);

20210415112756

20210415112805

反射获取到第一个类，然后获取该类的Client函数，参数分别是 "OVAGp","bAJs","Finast"

dnspy dll反编译

20210415113101

看着这样一个正常的程序，我们直接找一个Client的函数

20210415113204

一眼就是反射调用，不过他是通过vb.net的

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2021-4-28 10:06 被还我六千雪币编辑，原因：错别字

#病毒木马 #.NET平台

收藏・9

免费・16

支持

最新回复 (33) 1 2 ▶
淡然他徒弟雪币： 6166 活跃值： (4942) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 2 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 10:30 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 3 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 10:33 0
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 4 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 10:44 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 5 楼膜拜布墨大佬太强了~ 2021-4-28 10:51 0
蜜蜂啊雪币： 7403 活跃值： (2034) 能力值： ( LV4，RANK：42 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	蜜蜂啊 6 楼 bumo nb！！！( 震声) 2021-4-28 11:37 0
0x太上雪币： 401 活跃值： (4101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 149 关注私信	0x太上 7 楼膜拜布墨大佬太强了~ 2021-4-28 11:41 0
Kaining 雪币： 188 活跃值： (2750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 30 粉丝 9 关注私信	Kaining 8 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 13:08 0
实都雪币： 66 活跃值： (2746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 9 楼墨佬，真的666， 2021-4-28 13:37 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 18 关注私信	Lixinist 1 10 楼 bumo哥tql 2021-4-28 14:15 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 11 楼别骂了，别骂了。 2021-4-28 14:58 0
星耀浮沉雪币： 995 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 12 楼不炒股在这玩这个？ 2021-4-28 16:11 0
APT_华生雪币： 3906 活跃值： (3579) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 57 粉丝 47 关注私信	APT_华生 1 13 楼膜拜布墨大佬 2021-4-28 16:20 0
zx_838741 雪币： 377 活跃值： (5996) 能力值： ( LV4，RANK：55 ) 在线值：发帖 22 回帖 188 粉丝 51 关注私信	zx_838741 14 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 19:03 0
Jev0n 雪币： 2134 活跃值： (3911) 能力值： ( LV4，RANK：55 ) 在线值：发帖 4 回帖 58 粉丝 31 关注私信	Jev0n 15 楼膜拜布墨大佬太强了~(此条八毛) 2021-4-28 19:11 0
longbbyl 雪币： 1022 活跃值： (292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 138 粉丝 0 关注私信	longbbyl 16 楼膜拜布墨大佬太强了~(此条一块) 2021-4-29 10:20 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 17 楼淡然他徒弟膜拜布墨大佬太强了~(此条五毛) 2021-6-16 17:12 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 18 楼 mydvdf 膜拜布墨大佬太强了~(此条五毛) 2021-6-16 17:12 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 19 楼如斯咩咩咩膜拜布墨大佬太强了~(此条五毛) 2021-6-16 17:12 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 20 楼 wmsuper 膜拜布墨大佬太强了~ 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 21 楼蜜蜂啊 bumo nb！！！( 震声) 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 22 楼 0x太上膜拜布墨大佬太强了~ 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 23 楼 Kaining 膜拜布墨大佬太强了~(此条五毛) 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 24 楼实都墨佬，真的666， 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 25 楼 Lixinist bumo哥tql 2021-6-16 17:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

还我六千雪币

发帖

146

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
淡然他徒弟雪币： 6166 活跃值： (4942) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 2 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 10:30 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 3 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 10:33 0
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 4 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 10:44 0
wmsuper 雪币： 10868 活跃值： (14664) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 5 楼膜拜布墨大佬太强了~ 2021-4-28 10:51 0
蜜蜂啊雪币： 7403 活跃值： (2034) 能力值： ( LV4，RANK：42 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	蜜蜂啊 6 楼 bumo nb！！！( 震声) 2021-4-28 11:37 0
0x太上雪币： 401 活跃值： (4101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 149 关注私信	0x太上 7 楼膜拜布墨大佬太强了~ 2021-4-28 11:41 0
Kaining 雪币： 188 活跃值： (2750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 30 粉丝 9 关注私信	Kaining 8 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 13:08 0
实都雪币： 66 活跃值： (2746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 9 楼墨佬，真的666， 2021-4-28 13:37 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 18 关注私信	Lixinist 1 10 楼 bumo哥tql 2021-4-28 14:15 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 11 楼别骂了，别骂了。 2021-4-28 14:58 0
星耀浮沉雪币： 995 活跃值： (669) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 154 粉丝 1 关注私信	星耀浮沉 12 楼不炒股在这玩这个？ 2021-4-28 16:11 0
APT_华生雪币： 3906 活跃值： (3579) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 57 粉丝 47 关注私信	APT_华生 1 13 楼膜拜布墨大佬 2021-4-28 16:20 0
zx_838741 雪币： 377 活跃值： (5996) 能力值： ( LV4，RANK：55 ) 在线值：发帖 22 回帖 188 粉丝 51 关注私信	zx_838741 14 楼膜拜布墨大佬太强了~(此条五毛) 2021-4-28 19:03 0
Jev0n 雪币： 2134 活跃值： (3911) 能力值： ( LV4，RANK：55 ) 在线值：发帖 4 回帖 58 粉丝 31 关注私信	Jev0n 15 楼膜拜布墨大佬太强了~(此条八毛) 2021-4-28 19:11 0
longbbyl 雪币： 1022 活跃值： (292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 138 粉丝 0 关注私信	longbbyl 16 楼膜拜布墨大佬太强了~(此条一块) 2021-4-29 10:20 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 17 楼淡然他徒弟膜拜布墨大佬太强了~(此条五毛) 2021-6-16 17:12 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 18 楼 mydvdf 膜拜布墨大佬太强了~(此条五毛) 2021-6-16 17:12 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 19 楼如斯咩咩咩膜拜布墨大佬太强了~(此条五毛) 2021-6-16 17:12 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 20 楼 wmsuper 膜拜布墨大佬太强了~ 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 21 楼蜜蜂啊 bumo nb！！！( 震声) 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 22 楼 0x太上膜拜布墨大佬太强了~ 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 23 楼 Kaining 膜拜布墨大佬太强了~(此条五毛) 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 24 楼实都墨佬，真的666， 2021-6-16 17:13 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 25 楼 Lixinist bumo哥tql 2021-6-16 17:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复