Lazarus 使用泄露的黑客团队工具(2)
时间:2022-12-28 19:35 来源:网络整理 作者:采集插件 点击:次
unpacking-js_hu1c47467b5251d339791a4d9d5e3dd807_455507_1320x0_resize_box_3.png (291.59 KB, 下载次数: 0) 下载附件 2022-12-20 13:59 上传 美化后:
beautified_unpacked_function_hu3ad7bb4ede7c1b05edf8d31e240f2d94_251074_1320x0_re.png (187.24 KB, 下载次数: 0) 下载附件 2022-12-20 14:02 上传 函数 jmpof09fds() 获取 CHM 文件在磁盘上的位置,为下一阶段的写入做准备。变量 jdeDc05a 只是一个 URL 编码脚本,解码后是反编译 wallet.chm 以将 hkcmds.exe 暴露到磁盘的快捷方式:
beautified_payload_huff73ada21ea0c96620d61332730fb01e_64865_1320x0_resize_box_3.png (50.94 KB, 下载次数: 0) 下载附件 2022-12-20 14:18 上传 在图 4 中的 JS 之后,还有一些代码可以执行捆绑包中包含的文件 hkcmds.exe。
other-shortcut_hu0e4390ec31b99577d7211350b8225e15_172911_1320x0_resize_box_3.png (102.87 KB, 下载次数: 0) 下载附件 2022-12-20 14:27 上传 至此,我们完成了 CHM 文件,因为第二阶段的所有准备工作都已完成,现在可以继续分析 hkcmds.exe。 将二进制文件放入 DetectItEasy,结果表明它是一个没有加壳的 C/C++ 二进制文件。不需要额外的步骤,可以继续在 IDA 中进行分析。
detect-it-easy_hu8a0dd21fda194ea7458cb46c38025183_118993_1320x0_resize_box_3.png (85.85 KB, 下载次数: 0) 下载附件 2022-12-20 14:35 上传 IDA 帮助我们识别 WinMain,所以我们从那里开始。首先跳出的是一些被输入 sub_4018A0() 的混淆字符串。 (责任编辑:admin) |
- 上一篇:偏执团宠,重生小撩精燃炸天
- 下一篇:第1353章 蛮不讲理 黑客萌宝很坑爹