这次样本来源如下，感谢分享~
https://bbs.kafan.cn/thread-2279320-1-1.html

SHA256（主程序）：79d5b8422b9002578ea12feaf03c62f8b11ac10b85fb592b048775033b87ea2b

格式：exe

文件分析

主程序看起来像个白文件

行为分析

进程行为

主进程创建了一个子进程tmp.exe，这个文件在附带的文件夹中

文件行为

无文件释放操作

注册表行为

未发现明显维权行为

网络行为

外连如下

详细分析

样本由go编写，反编译比较乱

在main_init中初始化了一些API

后续在main_ReadEncExeData中提取了自身文件data

判断size，对比了一下，没啥问题

下面有一段异或解密，根据上方读取的逻辑，key为8位

生成出了pe文件，我们dump出来，等主进程调试完了再看

下面还有一个，我们也dump下来

之后我们来到图下所示的函数，在我们调用后，发现todesk被启动了，目标为tmp.exe，说明tmp.exe应该是一个用于伪装的白文件

不过该函数内部有一点值得关注，其第一个参数执行我们拿到的第一个pe文件，然后内部有一个写入操作，猜测一下第一个pe文件就是tmp白文件，不过有点意义不明就是了

哈哈大小差的有点多，排除~（后面还会有提到）

后面把第二个pe映射到了内存中，然后执行pe

然后主线程就跑飞了。。那么主线程先到这里，我们先来看看第一个释放的文件

释放文件1

emm，分页内存被阶段了，没复制全，那么再按照之前的逻辑，这个可能就是tmp.exe，那么我们二进制对比下~

完全一致！虽然过程有些坎坷，但是结果拿到了就行嘿嘿

释放文件2

这个也是截断的。。后来发现他的内容不在同一分页！，我们重新提取下

合并了一下大小就差不多了

因为我们已经知道了第一个文件就是tmp，我们就不分析了，直接看第二个

首先main_init里面还是一些API的获取

进入main_main,引入眼帘直接看到一个外连ip，现在ip网站还活着，我们直接下载~

剩下的关于这个程序的就没啥了，就是关于下载的shellcode载入和执行了，就不看啦

我们直接看下载的文件

开头可以看出，这应该就是个shellcode了，不过直接丢ida不知道为啥分析错误的，我们先用shcodetoexe

把shellcode转为exe再看

哇，经典中的经典 api hash

我们动态调试取出函数名（hashdb也行）

如图所示，后续可以看到又拿出了ip

后续又是连接然后接收，创建内存并解密

又释放了一个pe。。

释放文件2-1

文件比较大，照常做个行为分析，唯一有价值的点就是网络行为

这个文件比较难分析了，我们就依靠行为简单取一下IOC就可以了

我们在他会调用的dll中找到网络的api，然后下断点

IOC

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课