首页
社区
课程
招聘
[原创](冒泡贴)记录一次简单但完整的c#后门分析过程
发表于: 2022-5-9 19:36 5416

[原创](冒泡贴)记录一次简单但完整的c#后门分析过程

2022-5-9 19:36
5416

某家厂商发布的一个样本,分析过后简单记录一下

诱饵文档:

宏加密了

使用vbabypass解密后,宏代码主要将路径“.\xl\embeddings”下的oleObject2加上.bin后缀,随后拷贝成同路径下的uebslplyr.exe。uebslplyr.exe是c#写的后门远控文件

uebslplyr.exe没有混淆,可以直接分析,入口长这样的

进入Form1():

进入函数InitializeComponent():

Form1_FormClosing:

Form1_Load:

手动修改sleep的值之后,进入uebslplyrdou_start():

接下来关于uebslplyrdou_start()函数进行分析。

uebslplyrget_mpath();获取文件路径;

MYQUINF()   获取用户名计算机名等信息 :

需要找到调用该回调函数的地方才能从时间回调函数(uebslplyrlookupDons)入口处跟进去,System.Threading.Timer只是注册这个回调函数到定时器,只有等定时器触发才会调用回调函数,调试过程中可以通过修改等待时间快速进入回调函数。

随即进入回调函数,接下来对该回调函数进行肢解。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 4
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//