![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
样本分析
文章平均质量分 54
playmak3r
patient
展开
-
AndLua加密解密
进入关键函数Lua_loader_buffer首先判断第一个字符为=之后根据base64解码表映射解密base64,其中将第一个字符替换为0x1d,即为0x1d+0x2b=H解码base64后的结果如下所示如果第一个字符为0x1c进行异或解密最后再将第一个字符0x1c替换为0x78,进行inflate解码,解码完成后将第一个字符替换为28(0x1c)解密算法如下import base64import base64import zlibfp=open("main.lua","rb")原创 2022-05-10 01:26:46 · 3731 阅读 · 6 评论 -
Dridex样本分析
Dridex分析报告基本信息样本名称INV_984748.xls样本类型excel恶意类型蠕虫远控SHA2567F8F24884E26B4B508D5147F8F54269E452D1200904323544EF36E30400190B1样本名称t9ak0.dllSHA256076547c290c80627993690a9e6c15eeb2ac9b86a9a33af2d3dbaab135f1f43ab主要执行流程excel打开启动原创 2020-10-07 00:42:52 · 7278 阅读 · 0 评论 -
ICEID
文章目录基本信息样本基本信息主要执行流程office宏pfsdnskdf.exe解密exe傀儡进程关键技术概览1.时间差检测2.cpuid3.隐写术4.傀儡进程5.浏览器注入6.流量混淆详细分析宏代码部分PFSDNSKDF.EXE微步云在线分析手动分析PFSDNSKDF.EXE下载解密文件分析微步云在线分析手动分析新shellcode傀儡进程火绒剑分析开启监听端口生成自签名证书对谷歌浏览器执行远线程注入手动分析其他参考链接基本信息样本基本信息文件名称fram.doc样本类型doc原创 2020-08-31 20:32:57 · 742 阅读 · 0 评论 -
Zloader分析
文章目录Zloader分析报告基本信息样本基本信息主要执行流程关键技术概览详细分析工具静态分析动态调试分析Zloader分析报告基本信息样本基本信息名称order_93.xls样本类型xls恶意类型加载器样本MD5ea2a84383a2ef3bdcea801e0f22a0072样本SHA1f74d0b4ac53ac4a9d898a77fb050328495b971f3主要执行流程样本启用excel4.0宏,进行一系列反沙箱行为之后,创建vbs下载原创 2020-08-31 19:44:59 · 506 阅读 · 0 评论 -
QBOT分析
QBOT分析报告文章目录QBOT分析报告基本信息主要执行流程关键技术概览反沙箱傀儡进程DLL详细分析vbs分析新vbs分析DLL分析新exe傀儡进程参考资料基本信息样本名称qakbot样本类型vbs恶意类型蠕虫远控样本MD52a4a6cc8bd52f618a0190a8529c82b7d样本SHA1ef3d638377e245d7f388b41aad5e3525a8ccd2ed主要执行流程样本是一封钓鱼邮件,下载文件是一个VBS文件,VBS开启了严原创 2020-08-31 19:28:38 · 1566 阅读 · 1 评论 -
ursnif分析
ursnif文章目录ursnif基本信息主要执行流程关键技术概览详细分析docexe网络连接动态调试基本信息样本名称5f894602e88263e34dcdbb2eb2da3078.doc样本类型doc恶意类型蠕虫远控MD5cc7ceb281d0780a1514f99a635ca35e4SHA2563122695bb31fa85dc8ff21b6f5f2ded5a1f306ea2520edafd44a653b2d277eef主要执行流程程序启动do原创 2020-08-31 19:20:22 · 632 阅读 · 0 评论 -
GuLoader分析报告
GuLoader分析报告文章目录GuLoader分析报告基本信息样本基本信息主要执行流程关键技术概览反虚拟机1.内存遍历检测字符串2.qemu-ga.exe3.窗口数量检测反逆向分析1.花指令2.反调试DLL函数加载反HOOK1.检测一2.检测二3.检测三4,检测四傀儡进程加密特征详细分析加载器部分傀儡进程部分行为检测修复HOOK&HOOK检测概述可行性窗口数检测概述可行性傀儡进程检测概述可行性qemu-ga.exe检测概述可行性反调试检测ZwSetInformationThread概述可行性pa原创 2020-06-23 13:28:11 · 597 阅读 · 0 评论 -
instr.scr样本分析
instr.scr样本分析报告文章目录instr.scr样本分析报告基本信息主要执行流程关键技术概览反沙箱详细分析instr.scrservices.exe参考链接基本信息主要执行流程instr.scr加了upx壳进行自我复制改名为java.exe,并设置自启动,且获取通讯录进行邮件传发送播自身。instr.scr同时会释放services.exe同样加了upx壳,设置自启动,且将自身作为服务端与外界进行通讯实现远控。关键技术概览反沙箱程序创建java.exe,删除,再将自身拷贝为java原创 2020-06-23 13:19:53 · 222 阅读 · 0 评论