-
-
[原创](冒泡贴)记录一次简单但完整的c#后门分析过程
-
发表于: 2022-5-9 19:36
-
某家厂商发布的一个样本,分析过后简单记录一下
诱饵文档:
宏加密了
使用vbabypass解密后,宏代码主要将路径“.\xl\embeddings”下的oleObject2加上.bin后缀,随后拷贝成同路径下的uebslplyr.exe。uebslplyr.exe是c#写的后门远控文件
uebslplyr.exe没有混淆,可以直接分析,入口长这样的
进入Form1():
进入函数InitializeComponent():
Form1_FormClosing:
Form1_Load:
手动修改sleep的值之后,进入uebslplyrdou_start():
接下来关于uebslplyrdou_start()函数进行分析。
uebslplyrget_mpath();获取文件路径;
MYQUINF() 获取用户名计算机名等信息 :
需要找到调用该回调函数的地方才能从时间回调函数(uebslplyrlookupDons)入口处跟进去,System.Threading.Timer只是注册这个回调函数到定时器,只有等定时器触发才会调用回调函数,调试过程中可以通过修改等待时间快速进入回调函数。
随即进入回调函数,接下来对该回调函数进行肢解。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
