前言

起因是玩瓦罗兰特想搞4:3分辨率拉伸，搜B站教学让下载一个WinExplorer。于是我直接Google搜了一下发现这货排名还挺靠前，没多想直接下载。

笔者发现Github上没有给出源码，只有Release和Readme，没多想直接下载运行。一天后笔者发现任务管理器多了个Network5540.exe，我没多想以为是雷神加速器的辅助工具。手动提交到Windows Defender样本也一时半会儿扫不出来，但是感觉越来越不对劲。

冒牌winexp分析

文件名：winexp.exe
MD5：0843ed1a1b1b20c51e506ea1667e797c
SHA256：28ad48ce374b52c10d15cd06a5b4d5b97ed9c2710996fefac758b0a155e45d47

行为：运行后它将利用powershell运行指令添加到Windows Defender的排除项:

随后将./data/dotnet.dll复制为dotnet.bat并运行，启动真正的winexp.exe。

文件名：dotnet.dll
MD5：1db5fbd9dde9fd2ad90697c55b0f9012
SHA256：e304aa05f981d67335436b8e6fa070e14c1ccce7e88c523d7236414a51509c2c
行为：这个假DLL其实是个bat，打开看了一眼是一坨，里面应该藏了二进制程序在里面。运行后它会将自己复制为%APPDATA%/Network5540.cmd，释放一个powershell.exe并通过-c参数解密并加载运行Network5540.cmd中的二进制程序。
笔者修改cmd得到执行Powershell的指令，经过反混淆和整理后得到如下代码：

把这俩程序读出来保存一下，直接脱壳+IL2Spy。经过分析，这两个程序一个是用来绕过Windows Defender，另外一个是后门exe。感觉就是Hook了俩函数(AmsiScanBuffer和EtwEventWrite)就把Windows Defender放倒了...

后门exe行为

剪切板回调

如果匹配到你复制内容是比特币的地址的话还会给你替换成他的钱包地址。

按键监控

安装键盘钩子，记录窗口程序标题记录到%Temp%/Log.tmp文件中，笔者打开吓了一跳。

添加自启动

远程控制

总结

笔者并不是安全行业人员，水平很菜，写得有点啰嗦请见谅，感觉拆解别人的程序真好玩。
那个WinExp的Github页面搞得有模有样，笔者吃过的亏太少，给我的教训是不要觉得Github上都是正常开发人员，坏比无处不在。直到今天，Windows Defender提交的样本依旧是Pending状态，我还是下个火绒吧。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法