pc样本分析
文章平均质量分 87
Orcinus p
这个作者很懒,什么都没留下…
展开
-
银狐样本分析
msi在安装过程中执行恶意脚本,在C盘释放载荷ee.exe,ee.exe解密执行shellcode,shellcode通过多种手段执行反调试操作,添加Windows Defender的排除路径,解密字符串获取url后建立连接下载文件并解密,获得多个url,继续下载文件释放到指定路径下,文件包括具有数据签名的白文件,恶意dll,ffff.pol,ffff,lop。原创 2024-04-26 19:12:08 · 1072 阅读 · 0 评论 -
Emotet分析
编写启动器方便调试。样本经过控制流平坦化和大数运算混淆阻碍样本逻辑的分析控制流平坦化:使得程序反编译为复杂的循环结构和选择结构大数运算混淆:样本没有导入函数,通过遍历内存加载的模块(peb)和其导出函数的名称,计算hash,和存储的hash对比,得到对应的API函数地址。github下载ida脚本使得反编译更可读。通过对MY_GetProcAddr函数下断,可以得到动态调用的所有函数的名称和地址。2410解密函数内调用MY_RtlAllocateHeap。原创 2024-03-31 20:18:34 · 895 阅读 · 0 评论 -
AgentTesla样本分析
从资源中获取xml数据,获取当前计算机用户名和临时文件路径,replace替换xml文件中的userid变量和location变量,将替换后的xml写入临时文件。获取到解密流后通过 Copy 除去开头一些混淆用的 16 字节冗余数据后返回,确定解密出的数据是dll文件。跟进\u200f,先获取一个对象实例,\u206A函数中都是uint数组,存放的是加密的数据和解密的密钥。窃取到的数据都存在list列表中,如果list列表不是空的,则遍历获取窃密的信息,加入标识符按照格式写入。原创 2024-03-31 12:58:58 · 840 阅读 · 0 评论 -
贪吃蛇变种分析
创建进程执行MSSHQL.exe,判断是否是管理员权限。管理员权限:内置的PE释放到同路径下,名称为MSSHQL.exe,执行MSSHQL.exe非管理员账户:64位系统下将内置的PE文件MS19.exe、MS20.exe释放的到样本同文件夹下,执行。MS19.exe、MS20.exe为提权工具。提权后执行MSSHQL.exe。MS19.exe 获得SeImpersonate或SeAssignPrimaryToken权限,提升为system权限。原创 2024-03-28 16:00:31 · 676 阅读 · 0 评论 -
CS -exe木马分析
CS -exe木马分析Cobalt Strike是渗透测试工具,可以通过exe木马实现远程控制。一:生成exeWindows Executable 生成可执行exe木马;payload分段Windows Executable(S) 生成无状态的可执行exe木马,payload不分段分析Windows Executable 生成的artifact.exe查壳:无壳二:具体分析401840关键函数:获取系统时间戳,通过sprintf拼接管道名,创建线程,写加密数据到创建的管道内,最后解密执行原创 2022-04-05 16:38:31 · 2988 阅读 · 1 评论 -
Globelmposter
GlobeImposter病毒分析0x00 基础信息病毒背景:这个勒索病毒关键在于加密文件运行环境:win10一个勒索病毒 去微步下个样本回来0x01 简单分析1.DIE查壳 无壳大部分都是 创建文件 注册表相关的操作3.简单运行:发现后缀名.Snake4444HOW_TO_BACK_FILES.txtE9…文件:根据提示消息 发现 E9.。。。。。文件的 后部分内容就是personal id0x02 进一步分析start函数—> 跟进函数 sub原创 2021-07-19 22:20:09 · 170 阅读 · 0 评论 -
Thallium病毒分析
title: Thallium病毒分析date: 2021-05-11 15:13:56tags: Pc样本分析分析过程样本类型:doc样本利用方式:宏代码利用原始病毒样本是通过 宏代码利用 然后远程连接c2服务器 进行下载.so文件把通过c2 服务器下载的 payload 后缀名改为.exe直接分析.exe 文件 后续的payload文件下载的TEMP.so为exe文件,md5为: f160c057fded2c01bfdb65bb7aa9dfcc行为分析:用process m.原创 2021-07-06 13:11:32 · 148 阅读 · 0 评论