俄罗斯套娃式的.net样本分析

最新推荐文章于 2021-10-25 11:24:01 发布
VIP文章 最新推荐文章于 2021-10-25 11:24:01 发布
阅读量426 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_ZHAZHAL/article/details/107402146
版权

文章目录

前言

原来没有分析过.net的恶意程序,偶然发现了一个使用了Agent Tesla间谍软件生成的木马,看到有不少分析的文章了,就自己分析一下,记录一下分析过程。

描述

原始文件是由c#编写的,内部包含两个资源,一个是图片,另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务,并解密出来一个PE文件来执行窃密操作。

.net分析

静态查看

使用dnspy对.net文件进行调试,https://github.com/0xd4d/dnSpy/releases ,在这里进行下载。

dnspy左侧是一些程序集,右侧是程序集对应的代码
在这里插入图片描述

先静态看看有什么内容,发现有两个资源ÿ

最低0.47元/天 解锁文章
1行
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
.net core 3.1)详解C#委托(二)--委托+特性 实现AOP思想(俄罗斯套娃的实现)
dawei.tu的博客
05-13 730
.net core 3.1)详解C#委托(二)–委托+特性 实现AOP思想(俄罗斯套娃的实现) 1.之前呢讲了委托的基础,归结一句话,就是呢,委托就是把方法当做参数使用,继续呢往下面传递。 2.委托的本质呢其实就是一个类 ...
c#字典嵌套字典Dictionary<string, Dictionary<string, string>>
qiushubo的博客
10-12 4769
Dictionary<string, Dictionary<string, string>> a = new Dictionary<string, Dictionary<string, string>>(); a.Add("大键", new Dictionary<string, string>());//给字典添加一个键值对,大键和值 a["大键"].Add("小键","小键值");//a[]就是大.
.net样本分析
weixin_42539095的博客
12-14 172
1.样本如果加壳,先用UnConfuserEx脱壳工具做脱壳处理 2.常用工具dnspy调试 3.将样本拖入其中,点到资源处,然后右键转到入口点 4.入口点被混淆了,无法读,用解混淆工具de4dot解混淆后分析
C#窗体应用(一个套娃按钮软件)附源码
weixin_44317873的博客
09-04 433
1,界面是这样的 2,源码 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Threading.Tasks; using System.Windows.Forms; namespace taowa按钮 { .
一个.net样本的简单分析
信息安全
11-19 361
1.样本概况 1.1样本信息 病毒名称:1d494e530060d1b4d320cfe58eedca4f732cf8f3 MD5: 8F47BB964E517429B9C50989B2D59005 SHA1: 1D494E530060D1B4D320CFE58EEDCA4F732CF8F3 CRC32: 9BD6E1BF 1.2测试环境及工具 2.1.1 测试环境 Window...
方程式组织SPARC架构样本分析调试.pdf
08-10
•方程式组织回顾 •SPARC架构分析 •动态调试技术
图尔克电容式传感器样本
03-30
图尔克电容式传感器样本。 介绍了关于图尔克电容式传感器样本的详细说明,提供接近开关的技术资料的下载。
Androidusb流程分析样本.doc
11-20
Androidusb流程分析样本.doc
网站诊断分析报告样本.doc
07-07
网站诊断分析报告样本
DDG最新变种3014样本分析
12-20
DDG最新变种3014样本分析
《设计已死》
02-10
没什么原因,只是设计的本质已经改变。XP 的设计追求以下的技巧: 持续保持整洁的程序代码,越简单越好。 重构的技巧,所以当你觉得必要的时候都可以有信心的动手。 具有 patterns 的知识:不只是照它的解法,更要感觉何时可以应用,或是如何导入 patterns。 知道如何将设计说给必要的人了解[译注8],用程序代码、或是图形、或上述所有的工 具:交谈。 以上挑出来的技巧看来都挺吓人,但是要成为一个优秀的设计师本来就很难。XP 也不是 要让它变得简单,至少我就不觉得。但是我想 XP 让我们对有效率的设计有全新的看法, 因为它让渐进式设计听起来是可行的方式。而且我也很支持演进 - 否则谁知道我会变成 什么呢?
电脑鼠程序自己改的。。。能处理死胡同。。。
03-21
电脑鼠程序 自己改的。。。 能处理死胡同。。。 请多赐教。。。。。。
如何分析各种类型的恶意样本之--C#类型样本分析
hskull的博客
01-02 890
文章目录概述详细分析样本自身功能分析dump到的dll分析新恶意代码分析熟悉的C++程序分析IOCsIOCs 转载我自己的博客hskull.cn,欢迎进入来我的博客家园做客。 ​日常样本分析中,我们会遇到各式各样的语言所编写的恶意样本。除了最基础的C/C++之外,使用C#、python、VBScript、Office宏、PowerShell来构造恶意代码也较为常见。 ​为了让新入门者对各种类型样本的代码结构和分析流程都进行一次了解,我构思了如下系列文章《如何分析各种类型的恶意样本》来进行讲解,希望可以帮到大
如何优雅的分析C#样本
yellow的博客
10-25 195
使用C#专用分析工具优雅的分析C#样本
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门.txt
04-30
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门
基于matlab实现DOA 估计和自适应波束形成.rar
最新发布
04-30
基于matlab实现DOA 估计和自适应波束形成.rar
基于C++的线程安全容器。.zip
04-30
基于C++的线程安全容器。.zip
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
本周-综合案例.zip
04-30
本周-综合案例.zip
根据样本数据分析分布规律
09-09
根据样本数据分析分布规律可以使用多种方法。其中一种是频率分布分析,该方法可以计算样本数据中各个取值出现的频率。这可以帮助我们了解哪些取值出现的次数较多,哪些取值出现的次数较少,从而揭示出样本数据的分布...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值