俄罗斯套娃式的.net样本分析

最新推荐文章于 2021-07-10 11:22:31 发布
最新推荐文章于 2021-07-10 11:22:31 发布
阅读量440 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_ZHAZHAL/article/details/107402146
版权
本文记录了一次对使用Agent Tesla生成的.NET木马的分析过程。程序由C#编写,包含图片和DLL资源。运行时,DLL在内存中释放并解密图片中的隐藏PE文件,用于执行窃密操作。通过dnspy静态分析及调试,揭示了解密和执行流程,包括设置计划任务、解密PE文件以及窃取用户信息等恶意行为。
摘要由CSDN通过智能技术生成

文章目录

前言

原来没有分析过.net的恶意程序,偶然发现了一个使用了Agent Tesla间谍软件生成的木马,看到有不少分析的文章了,就自己分析一下,记录一下分析过程。

描述

原始文件是由c#编写的,内部包含两个资源,一个是图片,另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务,并解密出来一个PE文件来执行窃密操作。

.net分析

静态查看

使用dnspy对.net文件进行调试,https://github.com/0xd4d/dnSpy/releases ,在这里进行下载。

dnspy左侧是一些程序集,右侧是程序集对应的代码
在这里插入图片描述

先静态看看有什么内容,发现有两个资源,一个是图片,另一个似乎是PE文件

在这里插入图片描述

关键函数应该是这里

在这里插入图片描述

最低0.47元/天 解锁文章
1行
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C#设计模式学习笔记:(9)组合模式
chinaherolts2008的博客
12-20 228
本笔记摘抄自:https://www.cnblogs.com/PatrickLiu/p/7743118.html,记录一下学习过程以备后续查用。 一、引言 今天我们要讲结构型设计模式的第四个模式–组合模式。当我们谈到这个模式的时候,有一个物件和这个模式很像,那就是“俄罗斯套娃”。“俄罗斯套娃”是 大的瓷器娃娃里面装着一个小的瓷器娃娃,小的瓷器娃娃里面再装着更小的瓷器娃娃,直到最后一个不能再装更小的瓷器娃娃的那个瓷器娃娃为止。在我们 的操作系统中有文件夹的概念,文件夹可以包含文件夹并可以嵌套多层,这个和“俄罗
.net样本分析
weixin_42539095的博客
12-14 190
1.样本如果加壳,先用UnConfuserEx脱壳工具做脱壳处理 2.常用工具dnspy调试 3.将样本拖入其中,点到资源处,然后右键转到入口点 4.入口点被混淆了,无法读,用解混淆工具de4dot解混淆后分析
web服务程序设计探索(1)——俄罗斯套娃模型
蜗牛的专栏
06-17 1133
一、模型图“service/logic/dao/db”是一种非常常见的分层架构,从代码层次上看,同一层次代码可以放在同一个package,或以…Logic, …Dao等类名来区分;在程序实现处理过程中,都严格遵循上层调用下层函数的方式进行,不会出现跨层、反向调用,一直调用到最底层。二、优点在使用过程中,感觉到这种模型的好处就是比较简单,对于每一个请求,都是一层一层代码往下写,如果下层代码可复用,就直
俄罗斯套娃问题
不远远方
08-14 3513
【题目】 输入:第一行 n ,表示有n个套娃。之后n行,每行两个整数:分别表示宽和高。 只有宽和高都大于的才能嵌套。 输出:嵌套的最大层数。 提示:插入排序+LIS算法(最大上升子序列) 【解答】 方法一:暴力算法,空间复杂度为O(1)(不算读取数据的数组)。时间复杂度:O(n*n)。 import java.util.Scanner; public class Russia...
《设计已死》
02-10
没什么原因,只是设计的本质已经改变。XP 的设计追求以下的技巧: 持续保持整洁的程序代码,越简单越好。 重构的技巧,所以当你觉得必要的时候都可以有信心的动手。 具有 patterns 的知识:不只是照它的解法,更要感觉何时可以应用,或是如何导入 patterns。 知道如何将设计说给必要的人了解[译注8],用程序代码、或是图形、或上述所有的工 具:交谈。 以上挑出来的技巧看来都挺吓人,但是要成为一个优秀的设计师本来就很难。XP 也不是 要让它变得简单,至少我就不觉得。但是我想 XP 让我们对有效率的设计有全新的看法, 因为它让渐进式设计听起来是可行的方式。而且我也很支持演进 - 否则谁知道我会变成 什么呢?
方程式组织SPARC架构样本分析调试.pdf
08-10
•方程式组织回顾 •SPARC架构分析 •动态调试技术
图尔克电容式传感器样本
03-30
图尔克电容式传感器样本。 介绍了关于图尔克电容式传感器样本的详细说明,提供接近开关的技术资料的下载。
DDG最新变种3014样本分析
12-20
DDG最新变种3014样本分析
软件工程课程设计俄罗斯方块样本.doc
最新发布
12-19
本资源是关于软件工程课程设计俄罗斯方块样本的报告,涵盖了任务分析、可行性研究报告、设计规定、需求分析、总体设计、详细设计等方面的内容。报告的主要目的是设计和开发一个俄罗斯方块游戏软件,以满足人们的娱乐...
使用DirectX和.NET捕获样本
04-08
标题中的“使用DirectX和.NET捕获样本”指的是利用Microsoft的DirectX图形接口与.NET框架相结合,实现视频和帧的捕获功能。DirectX是一个由微软开发的API(应用程序编程接口),主要用于处理游戏、多媒体和图形相关...
电脑鼠程序自己改的。。。能处理死胡同。。。
03-21
电脑鼠程序 自己改的。。。 能处理死胡同。。。 请多赐教。。。。。。
俄罗斯套娃
weixin_30411239的博客
11-16 206
俄罗斯套娃是一个套一个组成。大的套小的,小的再套更小的。很简单但是蕴含很深的意义。比如数位系统,递归,指数等都有或多或少的联系。 1、数位系统 为了表示一个数量,可以有十进制,二进制,16进制,60进制,24进制,12进制等。但这些进制的核心到底在哪呢?就在俄罗斯套娃这种层级关系上。 每一层可以想象成一个箱子,箱子内包含的数量就是进制。比如包含2个就是2进制,包含12个就是12进制。那么...
递归思想 | 俄罗斯套娃
JacobTsang的博客
06-02 1947
递归的思想,利用了堆栈先进后出的特殊性质。进入最底层,一层一层地往外剥。【俄罗斯套娃】 对于递归,最好的方法是下Breakpoint逐步跟踪变量进行研究。 源代码: #include <stdio.h> #include <stdlib.h> #include <math.h> #include <iostream> using namespace...
css补充
热门推荐
qq_35187942的博客
02-22 8万+
热区 &lt;!DOCTYPE HTML&gt; &lt;html&gt; &lt;head&gt; &lt;meta http-equiv="Content-Type" content="text/html; charset=utf-8"&gt; &lt;title&gt;无标题文档&lt;/title&gt; &lt;base target="_bla
俄罗斯套娃(LCS)
算法学习印迹@老冯
03-14 1373
俄罗斯套娃 问题 东贤喜欢玩偶,为了东贤我们送一下俄罗斯套娃俄罗斯套娃俄罗斯的一个传统人偶,可以在人偶里面放入人偶。人偶排成单行站着。每个人偶大小不一,如果前面的人偶的大小比后面的人偶小的话,可以把前面的人偶放入到后面的人偶里面。比如说,如果按顺序排着大小为(1, 5, 2, 3, 7)的 5个人偶的话,可以把大小为1的人偶放入到大小为 5的人偶里面, 再把这个人偶放入到大小为7的人偶里面...
【微软算法面试高频题】俄罗斯套娃信封
MS_Stephen的博客
07-10 253
1. 题目 给你一个二维整数数组 envelopes ,其中 envelopes[i]=[wi,hi]envelopes[i] = [w_i, h_i]envelopes[i]=[wi​,hi​] ,表示第 iii 个信封的宽度和高度。 当另一个信封的宽度和高度都比这个信封大的时候,这个信封就可以放进另一个信封里,如同俄罗斯套娃一样。 请计算 最多能有多少个 信封能组成一组“俄罗斯套娃”信封(即可以把一个信封放到另一个信封里面)。 注意:不允许旋转信封。 示例 1: 输入:envelopes = [[5,4
IPV4 地址耗尽会对互联网产生什么影响?
GitHubDaily
12-10 1953
公众号关注“GitHubDaily”设为 “星标”,每天带你了解技术圈内新鲜事作者:小枣君出处:http://1t.click/bx4K2019 年 11 月 26 日,IPV4 地址...
深入剖析:俄罗斯木马样本分析及安全防护措施
"这篇文章分享了对一个俄罗斯木马样本分析过程,作者通过详细描述自己的操作步骤,展示了如何分析病毒并创建安全的分析环境。在分析前,作者使用了《冰点还原精灵》来保护系统,并编写了一个内核级驱动以监控木马...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值