-
-
[原创]好心群友给的外挂大礼包 -- 记一次远控马分析
-
发表于:
2024-8-15 15:29
6099
-
[原创]好心群友给的外挂大礼包 -- 记一次远控马分析
最近玩MC的3c3u服务器,是一个类似2b2t的无政府服务器,加了官方群,一个好心大哥给我发了一个挂。
如此好心,我当然要开心地收下。
UPX -d 脱掉
IDA32启动
WinMain就一个函数,跟进
逻辑如图,跟踪一下函数,函数名和变量名都是我恢复的。一开始以为是SMC,后来发现是反射加载dll。加载函数如下。
解密函数如下,一眼xxtea。
至此程序逻辑已经较为清晰:反射加载dll,具体为从密文以标准xxtea算法解密数据,然后把数据地址传入加载dll函数,最后调用dll中的函数,函数名为前面传进来的StudyHard。
dump dll的过程可谓艰辛,由于打CTF打多了,最开始写了一个c脚本,结果发现0x15000个u_int32似乎不好打印,后来又尝试保存到文本,效果也一般。(可能是IDA哪里分析出问题了)后来又尝试了下断点让他自己解密,因为他这个dll想执行最后肯定得以无加密方式执行,但是似乎有反调试,运行会卡住,跑不到解密的地方。(复盘时考虑可能是那些抛出异常的地方写了专门的处理,结合下图一堆函数猜测可能是自调反调试)
最后采取的方案:虚拟机直接运行,转储运行文件。这个程序应该是写入计划任务了,重启发现虚拟机里面还有这个样本,那只能说是正合我意了。
直接IDA分析这个内核转储文件。这里直接用windbg打开,显示
吓了我一跳,还以为是天堂之门,后来群里大哥说是调用了64位dll就会这样,而且这样必须用IDA64分析了。
IDA64打开转储文件,直接按G jump到那个加密dll的地址。
MZ开头,舒服了。
dump下来,32位IDA打开
获取路径,写注册表,写开机启动,持久化。
查找explorer.exe
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)