首页
论坛
课程
招聘
[原创](冒泡贴)记录一次简单但完整的c#后门分析过程
2022-5-9 19:36 2567

[原创](冒泡贴)记录一次简单但完整的c#后门分析过程

2022-5-9 19:36
2567

某家厂商发布的一个样本,分析过后简单记录一下

诱饵文档:

宏加密了

使用vbabypass解密后,宏代码主要将路径“.\xl\embeddings”下的oleObject2加上.bin后缀,随后拷贝成同路径下的uebslplyr.exe。uebslplyr.exe是c#写的后门远控文件

uebslplyr.exe没有混淆,可以直接分析,入口长这样的

进入Form1():

进入函数InitializeComponent():

Form1_FormClosing:

Form1_Load:

手动修改sleep的值之后,进入uebslplyrdou_start():

接下来关于uebslplyrdou_start()函数进行分析。

uebslplyrget_mpath();获取文件路径;

MYQUINF()   获取用户名计算机名等信息 :

需要找到调用该回调函数的地方才能从时间回调函数(uebslplyrlookupDons)入口处跟进去,System.Threading.Timer只是注册这个回调函数到定时器,只有等定时器触发才会调用回调函数,调试过程中可以通过修改等待时间快速进入回调函数。

随即进入回调函数,接下来对该回调函数进行肢解。

端口号五选一:

ip地址:

功能部分:


冒泡结束,继续潜水。。。。




















[2022冬季班]《安卓高级研修班(网课)》月薪两万班招生中~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回