首页
论坛
课程
招聘
[原创]一个藏在正常程序下的C#木马样本分析
2021-4-28 10:03 8677

[原创]一个藏在正常程序下的C#木马样本分析

2021-4-28 10:03
8677

前言

本文章只分析了木马加载的过程,不分析木马功能

背景

护网期间一个朋友发给我的样本让我帮忙分析一下

分析过程

  1. ExeinfoPe查了一下是一个C#的程序,然后加了个混淆直接de4dot处理一下拉入dnspy

    20210415111921
    反编译之后看没发现什么http请求,启动函数运行了一个frmMain窗体,看了看代码什么的发现是一个正常的窗体程序,什么也没发现

  2. 动态调试

    20210415112425
    程序肯定是有问题的,于是就动态调试发现,这个程序是一个加载程序,他找了一套正常程序的源码重写了一个属性的set函数 在set函数中,从资源文件拿到dll然后加载dll

  3. 利用反射加载dll之后 反射调用函数

    1. Type type = assembly.GetTypes()[0];
    2. MethodInfo method = type.GetMethod("Click");
    3. method.Invoke(0, parameters);

      20210415112756

      20210415112805

      反射获取到第一个类,然后获取该类的Client函数,参数分别是 "OVAGp","bAJs","Finast"

  4. 直接dnspy动态调试 dump出来dll文件
  5. dll也是C#的 然后加了混淆直接de4dot处理 然后拖入dnspy
  6. dnspy dll反编译

    20210415113101

    看着这样一个正常的程序,我们直接找一个Client的函数

    20210415113204

    一眼就是反射调用,不过他是通过vb.net的

    dll是保存在资源图片中的 这个不用关注 我们直接把处理之后的的rawAssembly 给dump出来就好了

  7. dump出来的dll还是一个C#的 是有复杂的混淆的 de4dot处理不了,我直接找画眉师傅给处理了一下然后拉到dnspy里面看了看 就是真实的木马样本。

总结

此样本是一个加载器 首先从资源文件中拿到dll通过C#的反射加载起来,然后该dll再次从资源文件中拿到一个图片,从图片中提取出来功能dll,通过Microsoft.VisualBasic库的反射加载起来功能dll,

 

加载器和dll都是伪装成了正常的程序,如果不仔细看的时候 就可能以为是一个正常程序放过去了


[注意] 招人!base上海,课程运营、市场多个坑位等你投递!

最后于 2021-4-28 10:06 被还我六千雪币编辑 ,原因: 错别字
收藏
点赞15
打赏
分享
最新回复 (33)
雪    币: 4610
活跃值: 活跃值 (2080)
能力值: ( LV7,RANK:150 )
在线值:
发帖
回帖
粉丝
淡然他徒弟 活跃值 1 2021-4-28 10:30
2
0
膜拜布墨大佬 太强了~(此条五毛)
雪    币: 660
活跃值: 活跃值 (164)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mydvdf 活跃值 2021-4-28 10:33
3
0
膜拜布墨大佬 太强了~(此条五毛)
雪    币: 4493
活跃值: 活跃值 (479)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
如斯咩咩咩 活跃值 2021-4-28 10:44
4
0
膜拜布墨大佬 太强了~(此条五毛)
雪    币: 9681
活跃值: 活跃值 (7791)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
wmsuper 活跃值 5 2021-4-28 10:51
5
0
膜拜布墨大佬 太强了~
雪    币: 3050
活跃值: 活跃值 (446)
能力值: ( LV3,RANK:32 )
在线值:
发帖
回帖
粉丝
蜜蜂啊 活跃值 2021-4-28 11:37
6
0
bumo nb!!!( 震声)
雪    币: 240
活跃值: 活跃值 (147)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
0x太上 活跃值 2021-4-28 11:41
7
0
膜拜布墨大佬 太强了~
雪    币: 473
活跃值: 活跃值 (779)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
Kaining 活跃值 2021-4-28 13:08
8
0
膜拜布墨大佬 太强了~(此条五毛)
雪    币: 56
活跃值: 活跃值 (714)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
实都 活跃值 2021-4-28 13:37
9
0
墨佬,真的666,
雪    币: 8843
活跃值: 活跃值 (1385)
能力值: ( LV6,RANK:87 )
在线值:
发帖
回帖
粉丝
Lixinist 活跃值 1 2021-4-28 14:15
10
0
bumo哥tql
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-4-28 14:58
11
0
别骂了,别骂了。
雪    币: 129
活跃值: 活跃值 (173)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
星耀浮沉 活跃值 2021-4-28 16:11
12
0
不炒股在这玩这个?
雪    币: 1645
活跃值: 活跃值 (1791)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
APT_华生 活跃值 2021-4-28 16:20
13
0
膜拜布墨大佬
雪    币: 3640
活跃值: 活跃值 (3800)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
下咯 活跃值 2021-4-28 19:03
14
0
膜拜布墨大佬 太强了~(此条五毛)
雪    币: 2381
活跃值: 活跃值 (1178)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
Jev0n 活跃值 2021-4-28 19:11
15
0
膜拜布墨大佬 太强了~(此条八毛)
雪    币: 816
活跃值: 活跃值 (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
longbbyl 活跃值 2021-4-29 10:20
16
0
膜拜布墨大佬 太强了~(此条一块)
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:12
17
0
淡然他徒弟 膜拜布墨大佬 太强了~(此条五毛)
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:12
18
0
mydvdf 膜拜布墨大佬 太强了~(此条五毛)
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:12
19
0
如斯咩咩咩 膜拜布墨大佬 太强了~(此条五毛)
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:13
20
0
wmsuper 膜拜布墨大佬 太强了~
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:13
21
0
蜜蜂啊 bumo nb!!!( 震声)
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:13
22
0
0x太上 膜拜布墨大佬 太强了~
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:13
23
0
Kaining 膜拜布墨大佬 太强了~(此条五毛)
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:13
24
0
实都 墨佬,真的666,
雪    币: 735
活跃值: 活跃值 (1301)
能力值: ( LV6,RANK:84 )
在线值:
发帖
回帖
粉丝
还我六千雪币 活跃值 2021-6-16 17:13
25
0
Lixinist bumo哥tql
游客
登录 | 注册 方可回帖
返回