-
-
[原创] 初入门径 --- 护网钓鱼样本分析
-
发表于:
2021-6-2 17:59
10682
-
最近半个月都在学《恶意代码分析实战》,想拿真实的恶意软件进行分析一下。正好朋友发了一个过来。(应该是护网的钓鱼文件)
总共包括三个文件:2021年机关员工(子女)名单.exe、name1.jpg、name2.jpg
2021年机关员工(子女)名单.exe:程序是golang编译的,分析起来有点困难。所以没有进行分析,只是看了一下会有什么行为。
name1.jpg为exe
name2.jpg为dll导出了InitBugReport函数,且该函数存在异或解密shellcode的行为。
开启Fake-ng,process monitor和process explorer进行行为监控。在虚拟机中执行程序之后会将nam1.jpg保存为yyexternal.exe
有一定的迷惑性,让人以为是正常的yy程序
name2.jpg会保存为crashreport.dll。之后yyexternal会动态加载crashreport.dll并调用InitBugReport。
加载shellcode的功能都在nam2.jpg(其实是dll)中所以主要分析这个文件。
主要是3个步骤循环:
第一:将byte_100277A8开始偏移%6==3地址上的内容复制到shellcode中
第二:将shellcode循环与!@ASDasd3#@异或解密
第三:将解密后的shellcode复制到VirtualAlloc地址并跳转执行。
如何获取shellcode?
1.脚本解密
2.动态内存dump
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课