样本MD5:E8F57996607F41B951F201F2CAFAE15D,下载地址:https://app.any.run/tasks/add02a26-c07f-49cd-8d7d-a1791369c862。这是一个木马,但由于C&C服务器不存活了,所以ANYRUN无法检测出其是否恶意,今天,我们就来通过FakeNet-NG神器,来模拟C&C服务器,以揭露出样本的完整恶意行为。
首先使用查壳工具检测,没有壳,然后IDA打开发现,导航栏有一大段灰的,第一反应就是代码被自定义的算法加密了。
可以通过前文(https://blog.csdn.net/m0_37552052/article/details/104238986)所介绍的VirtualAlloc断点方法,直接定位到payload被解密的地方。如下图,下完断点后F9运行,发现代码空间已经来到0x12FXXX(栈上&#x