一个C#或者.Net病毒的逆向之旅

最新推荐文章于 2021-12-23 22:36:40 发布
最新推荐文章于 2021-12-23 22:36:40 发布
阅读量1.4k 收藏 5
点赞数 3
分类专栏: 逆向学习、病毒分析之路 文章标签: C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userpass_word/article/details/82705408
版权

最近为了提高沙箱的反病毒能力,特意从卡饭论坛找了一批样本,因为我觉得只有把沙箱当成黑盒测试一样,才有可能发现各种问题,之前我提需求时也是这样,就用实际的样本来跑,跑完后就会发现有很多问题,只有不断提问题(需求)才能更加促进产品的迭代更新。在之前的测试中,我们沙箱对于勒索病毒来说,检出率是很可观的,但是这次我就发现有些问题,好像C#或者说是.Net写的这个病毒,并没有检出,于是就单个拿出来分析下,为什么没有检出?沙箱哪里监控能力不足?其实我之前也没怎么分析过C#或者说是.Net写的,以前有人告诉我说,这种病毒很好分析的,因为反编译之后就是源码了,看上去很容易的,但是自己对于这些反编译后的结构不是很清楚,甚至之前都不知道要从Main函数进入查看,真的是被自己嘲笑了……

因为这是个真实的勒索病毒,会加密你的文件,这里我放一些能证明它加密文件的截图,顺便做一些说明吧

下图中有被加密文件的扩展名

有些东西可能只有经历过你才不畏惧,经历过之后就会觉得其实也都还好,没有什么太难的。

ATree、063
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#实例.net-经典例子400个
01-08
C#实例.net_经典例子400个.doc C#实例.net_经典例子400个.pdf
C#逆向分析工具包
08-11
C#常用逆向分析工具包,主要包括.NET Reflector、dnspytool、IL Spy、Unity-debugging等
C#逆向
harborian的博客
03-04 1140
文章目录C#逆向1. 修改cs源码2. 修改vsproj项目工程3. 修改xaml总结 C#逆向 前段时间,遇到一个逆向一个windows上exe的问题,用ida分析,发现不能解析出有用的汇编代码,但给出的是IL(Intermediate Language)代码。通过进一步分析,发现是基于WPF(Windows Presentation Foundation)的C# .net项目。在网上发现收费工具,但是出于成本考虑,决定使用了开源的ILSpy。从github上下载编译好的7.0版本(由于ILSpy源码是
一个简单的c#逆向
baidu_28138887的博客
06-13 3401
今天有时间就看了一下reversing.kr上的题目, 玩了会C#的题目, 感觉还是挺简单的。         大致的流程就是在form1 创建的时候, 把某个方法的字节码做一定的改变, 然后反编译器就无法看到里面的内容了, 解题方法其实也很简单, 就是按着他的思路把最后的方法还原就好。然后解出来的内容就是抑或和字符对比,没什么好说的。 我写的代码比较挫就不放上来了(免得被大牛喷) 。
Windows爆破之路——.NET C#逆向
aiyo_的博客
07-16 2326
接上篇Windows系统C/C++逆向分析。 今天主要介绍一下.NET C#程序的逆向分析过程。众所周知,C#语言是对JAVA语言系统的升华。汇集JAVA面向对象的思想,同时也将微软传统MSVC/VC++的优点发挥的淋漓尽致。跟JAVA类似,C#也是一种解释型语言,编译完同样会生成字节码文件,在程序运行时,借助它自己的解释器进行实时解释运行。C#的字节码中间语言称为IL语言,其解释器一般是指CLR,类比于JAVA的JVM。当然,C#的解释器不限于CLR,现阶段开源软件Mono也实现了一个C#解释器。而且,
一款 .NET 程序逆向工具
11-14
dnSpy 是一款针对 .NET 程序的逆向工程工具。该项目包含了反编译器,调试器和汇编编辑器等功能组件,而且可以通过自己编写扩展插件的形式轻松实现扩展。该项目使用 dnlib读取和写入程序集,以便处理有混淆代码的程序...
C#,.NET 微信支付封装源码
03-22
微信二维码扫码支付,APP发起微信支付接口,等等
C#和.NET3.0第一步.pdf
09-18
c#入门教程,c#和.NET 3.0 第一步。适合初学者入门学习
C# .NET工控上位机开发
06-04
Windows Forms是.NET Framework中的一个组件,用于创建桌面应用程序,特别适合开发工控上位机界面。通过Windows Forms,开发者可以利用各种控件(如按钮、文本框、图表等)设计用户界面,并实现与硬件设备的交互。 ...
Reflector 非常强大的.net C#反汇编、逆向工程工具
08-16
最新版本的Reflector 用来反汇编.net工程非常强大,可以还原源代码,居家行、杀人越货之必备。。。
C#_反编译dex_工具_Android逆向工具
12-22
C#_反编译dex_工具_Android逆向工具
逆向Game 一些经验
11-04
逆向Game 一些经验
打造最漂亮的串口通讯调试助手 基于C# WPF .net4开发 附源码带详细注释
06-27
* 学C#和WPF编的第一个软件,整个编程过程,通过百度不断学习 * 作者是做硬件的,只为学习做简单的上位机程序,C#简单,开发效率高,所以选择C# * 以前没有PC端软件编程经验,所以该编程思想继承于单片机编程思想...
【小沐学C#C#逆向反编译工具:JetBrains dotPeek
热门推荐
爱看书的小沐
12-23 4万+
dotPeek 是一款基于 ReSharper 捆绑反编译器的免费独立工具。 它可以可靠地将任意 .NET 程序集反编译为对等的 C# 或 IL 代码。 这款反编译器支持包括库 (.dll)、可执行文件 (.exe) 和 Windows 元数据文件 (.winmd) 在内的多种格式。
C#/.NET基础逆向简述
Rprop
05-01 1万+
本文主要讲述进行C#/.NET基础逆向的一般性步骤, 并不全面, 仅希望能给初学者减少些许时间, 也作为自己的总结吧. 工欲善其事必先利其器, 工具是必不可少的, 建议初学者下载此类工具时前往一些安全论坛下载, 一方面是方便检索新版, 一方面是恶意软件的可能性比较小, 避免不必要的麻烦. 一、检测程序类型. 很多工具可以做到这一点, 比如exeinfope, PEiD,
C#WinForm实现雷速网站逆向
qq942564942的博客
11-16 1779
目录 前言 一、查找绘制前的关键代码 二、解剖数据加密过程 三、通过 C# WinForm 进行获取调用 总结 前言 提示:本文仅用于学习分享,禁止用于任何违法行为,如有侵权,请联系删除。 目标网址:足球赛果_足球联赛赛果_足球比赛赛果-雷速体育雷速体育足球赛果提供最新最全的欧洲杯、世界杯、五大联赛、中超等国内国际大小足球比赛的赛事结果,看足球赛果首选雷速体育!https://live.leisu.com/wanchang 从上图中可以看到,页面中显示的数据变成了Canvas标签...
一款发帖软件的逆向分析(C#
AmazingDlt的博客
10-15 912
(****shuju****) /*说明,本次记录仅限于技术研究交流,其他任何事物与本人无关*/ 拿到软件,第一步习惯性的打开看看,看到软件目录 有个 Interop.MSScriptControl.dll ,基本上十之八九是.net写的软件,至于是c#或者是vb.net,首先就搁在一边了,然后打开软件,大概几秒钟后,弹出对话框,机器码已经复制到剪辑版,猜测是联网进行了验证,然后看了一...
IL指令集——运算指令
sunct的博客
08-24 437
Public field Static    Add    将两个值相加并将结果推送到计算堆栈上。 Public field Static    Add_Ovf    将两个整数相加,执行溢出检查,并且将结果推送到计算堆栈上。 Public field Static    Add_Ovf_Un    将两个无符号整数值相加,执行溢出检查,并且将结果推送到计算堆栈上。 ...
C#.net怎么定义一个全局的类
最新发布
07-09
C#.NET 中,定义一个全局类可以通过创建一个静态类来实现。静态类是一个特殊类型的类,它只包含静态成员(方法、属性、字段等),并且无法实例化。以下是定义一个全局类的示例代码: ```csharp public static class GlobalClass { // 添加静态成员 public static string GlobalProperty { get; set; } public static void GlobalMethod() { // 全局方法的实现 } } ``` 在上述代码中,`GlobalClass` 是一个静态类,可以在整个应用程序中访问。你可以在其他类中直接通过类名访问它的静态成员,如下所示: ```csharp // 设置全局属性的值 GlobalClass.GlobalProperty = "Hello, world!"; // 调用全局方法 GlobalClass.GlobalMethod(); ``` 通过这种方式,你可以在应用程序的任何地方访问和使用全局类的成员,而无需实例化该类。请注意,全局类的静态成员在整个应用程序中共享状态,因此需要谨慎使用以避免潜在的并发问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值