前言
原来没有分析过.net的恶意程序,偶然发现了一个使用了Agent Tesla间谍软件生成的木马,看到有不少分析的文章了,就自己分析一下,记录一下分析过程。
描述
原始文件是由c#编写的,内部包含两个资源,一个是图片,另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务,并解密出来一个PE文件来执行窃密操作。
.net分析
静态查看
使用dnspy对.net文件进行调试,https://github.com/0xd4d/dnSpy/releases
,在这里进行下载。
dnspy左侧是一些程序集,右侧是程序集对应的代码
先静态看看有什么内容,发现有两个资源ÿ