一、C# 恶意程序分析
主要用于调用Invoke函数加载解密后的PE的方法的调试。
方法1:使用工具:Dnspy
示例:
定位Invoke函数,点击进入函数内部,不断F11进去
UnsafeInvokeInternal函数F11进去
RuntimeMethodHandle.InvokeMethod函数F11进去
下一步就进去目标PE的方法入口了。
方法2 :使用MegaDumper.exe (github上有)
运行恶意程序后,打开MegaDumper.exe ,找到对应的进程,右键dump,把所有的模块全部dump下来,该工具还有很多其他有用的功能,可以探索下。
通过这个方法,我找到了对应的加载的恶意payload。