继续执行程序,直到在LoadResource处断下
此处单步执行,看资源地址为“0x00447058”
010editor打开D.exe程序,ctrl+shift+A,输入开始地址和大小
选择“edit-copy as-copy as hext text”,拷贝数据
新建一个16进制格式的文件
将上步复制的数据粘贴进去
将文件另存为E.exe
将E.exe用火绒剑打开,检查是可以正常运行的
7.分析E.exe程序功能
将该程序用PEid打开,使用C#编写
使用dnSpy调试E.exe程序,发现被混淆了,而且发现该程序为Nano Client客户端,是一个远控程序,找到对应版本的服务器端,为了便于后续测试。
使用de4dot工具进行反混淆。
dnSpy调试反混淆后的程序 E-cleaned.exe,先删除之前加载的程序
打开E-cleaned.exe
在IP地址和端口设置的函数地方下断点,大家可以对这个程序进行分析
8.根据程序行为修改服务端程序的ip和端口
用火绒剑检测到该程序有个外联191.101.22.13:4110,
修改本机地址为“191.101.22.13”,启动并设置服务器端的NanoCore,设置监听4110端口,发现客户端马上就上线了。修改本机IP
启动服务端,进行端口设置
查看客户端
研究该木马功能
程序大概的运行程序如下
1、该程序通过创建傀儡进程的方法进行了免杀
2、傀儡进程dump出来后需要进行修复
3、修复后的程序需要手动脱UPX壳
4、对脱壳后程序进行分析,发现具有加载资源的操作,该资源数据是PE格式
5、将这部分数据拷贝出来分析,发现其为远控木马的客户端,C#编写
6、调试该C#程序,先进行反混淆操作,简单分析该程序
7、修改本机地址为客户端外联的IP,下载远控木马服务器端,修改监听端口,客户端上线,发现该远控木马具有开关机等常规远控软件功能。
希望大家可以有所收货!!!
