新手帖- .net 适合新手分析的样本 - 改
本帖最后由 Assassin_ 于 2019-6-24 09:44 编辑# 适合新手分析的样本 NANOCORE.net
## 0x01 前言
听从Hmily大佬的意见,改正之后的版本。
为了熟悉论坛MD版本,改了好几遍,才算是比较好看一点,抱歉
该样本为.net样本,由于本人对该语言样本分析较少,所以可能有地方存在错误,还请各位指正,私信或者评论都可以{:1_893:}
样本本身比较简单,所以适合我们这样的新手练手,个人还是比较推荐的
## 0x02 样本信息
样本为压缩包,解压之后为exe程序
采用C#编写
## 0x03 调试环境与工具
WIN7 64、dnspy
## 0x04 样本分析
### 4.1 解密PE,并运行
对其进行调试,异或解密
Base64解码
得到另一个PE文件
该PE比较简单,对资源进行解密,并通过线程运行
解密算法
解密资源依旧为一个PE文件,该PE加壳,采用代码乱序和混淆,脱壳之后,逻辑还是比较清晰的
因为代码比较清晰,所以把可以分析的都说一下
首先获取"CdoWOnwWzidv"和"vrONsPaWCyia"资源文件,对其进行解密并加载,解密算法与之前一致
### 4.2 检测虚拟机
检测虚拟机等
### 4.3关闭防火墙,保证权限
检测是否存在%userprofile%\\NUUSER目录,存在则检测是否为管理员权限,如果满足cmd直接运行
否则先利用注册表关闭防火墙
然后通过PowerShell获取Windows Defender扫描和更新的首选项,并对其进行配置,将结果写入%userprofile%\\NUUSER文件
### 4.4 选择载荷的运行方式
获取资源名"RBaqnfSVWpZS"资源(该处没有找到该资源)
可以通过RegAsm运行起来
或者将资源写入%userprofile%\\#bindname#.exe,并通过直接创建进程使其运行
### 4.5 拷贝自身,并清理环境
拷贝该文件到%APPDATA%\\filename.exe,并删除zone.identifier文件
### 4.6 自启动方式
根据a3的不同设置自启动方式
a3=Folder
base64解码vbs脚本,通过脚本运行
a="Registry"
通过注册表运行
a=task
通过计划任务运行
## 0x05 运行真正的木马程序
检测是否存在RegAsm.exe,程序的运行环境程序集,解密算法与之前一致,解密之后运行
查看解密之后的程序为nanocore 1.2.2.0 版本,谷歌之后发现这是一个成熟的RAT。
包含插件、文件、命令行、键盘记录等功能,功能比较全面。知识有限,就不再做分析了。
## 尾声
略
附件: 52pojie
学习了。 学习了,感谢楼主:loveliness: 感谢楼主 我学习了 论坛支持md格式,我给你改了一下,另外最后有一个图看起来丢了,没贴到正文中,自己改下吧。 路过学习,谢谢分享,下载看看,只是我可能都看不懂:Dweeqw别笑话我喔,表示支持一下。 感谢分享原创文章! 学习一哈 楼主你好啊,这个软件有虚拟机检测,那您是怎么分析的呀,我不想在我的真机上分析,害怕感染,又不能在虚拟机里运行,那怎么办呢?
页:
[1]
2