-
-
[原创](冒泡贴)记录一次简单但完整的c#后门分析过程
-
发表于: 2022-5-9 19:36 5433
-
某家厂商发布的一个样本,分析过后简单记录一下
诱饵文档:
宏加密了
使用vbabypass解密后,宏代码主要将路径“.\xl\embeddings”下的oleObject2加上.bin后缀,随后拷贝成同路径下的uebslplyr.exe。uebslplyr.exe是c#写的后门远控文件
uebslplyr.exe没有混淆,可以直接分析,入口长这样的
进入Form1():
进入函数InitializeComponent():
Form1_FormClosing:
Form1_Load:
手动修改sleep的值之后,进入uebslplyrdou_start():
接下来关于uebslplyrdou_start()函数进行分析。
uebslplyrget_mpath();获取文件路径;
MYQUINF() 获取用户名计算机名等信息 :
需要找到调用该回调函数的地方才能从时间回调函数(uebslplyrlookupDons)入口处跟进去,System.Threading.Timer只是注册这个回调函数到定时器,只有等定时器触发才会调用回调函数,调试过程中可以通过修改等待时间快速进入回调函数。
随即进入回调函数,接下来对该回调函数进行肢解。
赞赏记录
参与人
雪币
留言
时间
ttdbb
为你点赞~
2024-3-17 23:46
mb_yfioexda
为你点赞~
2023-8-22 11:06
伟叔叔
为你点赞~
2023-3-18 02:43
一笑人间万事
为你点赞~
2023-1-12 06:04
赞赏
他的文章
看原图
赞赏
雪币:
留言: