首页
社区
课程
招聘
[原创]好心群友给的外挂大礼包 -- 记一次远控马分析
发表于: 2024-8-15 15:29 4952

[原创]好心群友给的外挂大礼包 -- 记一次远控马分析

2024-8-15 15:29
4952

最近玩MC的3c3u服务器,是一个类似2b2t的无政府服务器,加了官方群,一个好心大哥给我发了一个挂。
image-20240813192155269
如此好心,我当然要开心地收下。

image-20240813192155269

UPX -d 脱掉

image-20240813192228213

IDA32启动

image-20240813192316850

WinMain就一个函数,跟进

image-20240813194300055

逻辑如图,跟踪一下函数,函数名和变量名都是我恢复的。一开始以为是SMC,后来发现是反射加载dll。加载函数如下。

image-20240813194241266

解密函数如下,一眼xxtea。

image-20240813192529754

至此程序逻辑已经较为清晰:反射加载dll,具体为从密文以标准xxtea算法解密数据,然后把数据地址传入加载dll函数,最后调用dll中的函数,函数名为前面传进来的StudyHard。

dump dll的过程可谓艰辛,由于打CTF打多了,最开始写了一个c脚本,结果发现0x15000个u_int32似乎不好打印,后来又尝试保存到文本,效果也一般。(可能是IDA哪里分析出问题了)后来又尝试了下断点让他自己解密,因为他这个dll想执行最后肯定得以无加密方式执行,但是似乎有反调试,运行会卡住,跑不到解密的地方。(复盘时考虑可能是那些抛出异常的地方写了专门的处理,结合下图一堆函数猜测可能是自调反调试)

image-20240813195104441

最后采取的方案:虚拟机直接运行,转储运行文件。这个程序应该是写入计划任务了,重启发现虚拟机里面还有这个样本,那只能说是正合我意了。

image-20240813195351849

直接IDA分析这个内核转储文件。这里直接用windbg打开,显示image-20240813195449765

吓了我一跳,还以为是天堂之门,后来群里大哥说是调用了64位dll就会这样,而且这样必须用IDA64分析了。

IDA64打开转储文件,直接按G jump到那个加密dll的地址。

image-20240813195840162

MZ开头,舒服了。

dump下来,32位IDA打开

image-20240813203054571

获取路径,写注册表,写开机启动,持久化。

image-20240813201236953

查找explorer.exe


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 2
支持
分享
最新回复 (1)
雪    币: 392
活跃值: (1438)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
图片怎么全挂了 之前还能看的
2024-10-24 16:38
0
游客
登录 | 注册 方可回帖
返回
//