随笔分类 -  样本分析

Python Steam盗号木马
摘要:Python Steam盗号木马 目录Python Steam盗号木马样本来源解包python 代码IOC 样本来源 Python Steam盗号木马_卡饭论坛 竟然使用python写盗号,为何不交给AI转成golang、c++? 解包 过程略。 样本采用cx_Freeze打包,解压lib/libr 阅读全文
posted @ 2025-05-26 22:07 DirWangK 阅读(126) 评论(0) 推荐(0)
Bootkitty:Linux uefi bootkit 分析
摘要:目录Bootkitty:Linux uefi bootkit 分析文件信息0、ModuleEntryPoint 入口函数1、hook do_start_imagehook_grub_1_mods__do_start_image_18000EFB0do_start_image (目标函数)hook_g 阅读全文
posted @ 2025-01-05 21:25 DirWangK 阅读(375) 评论(0) 推荐(0)
Synaptics 蠕虫病毒分析
摘要:Synaptics 蠕虫病毒分析 目录Synaptics 蠕虫病毒分析文件信息资源文件执行流程TFormVir_FormCreateControlCenter_49A3E01、释放EXERESX并执行 ==》exec_exeres_477AD82、InjUpdate3、程序已经运行则结束进程4、初始 阅读全文
posted @ 2024-11-21 23:57 DirWangK 阅读(891) 评论(0) 推荐(0)
某gobfuscate 混淆样本 静态分析
摘要:**某gobfuscate 混淆样本 静态分析** > gobfuscate 主要对字符信息进行混淆,并不能起到有效的对抗效果; 可结合函数签名、runtime type infomation进行分析。 [toc] # IDA pro准备工作 ~~新版本对go分析效果大有改进,充值变强~~ ## L 阅读全文
posted @ 2023-08-27 22:49 DirWangK 阅读(514) 评论(0) 推荐(0)
BlackLotus 分析3--http_downloader
摘要:BlackLotus 分析3--http_downloader inject_into_winlogon MZ魔术字改为HC的PE文件 start 反调试和反沙箱部分与安装器相同 __int64 start() { NtSetInformationThread((HANDLE)0xFFFFFFFFF 阅读全文
posted @ 2023-04-09 12:20 DirWangK 阅读(340) 评论(0) 推荐(0)
BlackLotus 分析2--boot-内核阶段
摘要:BlackLotus 分析2--boot-内核阶段 [BlackLotus 分析1--安装器阶段](BlackLotus 分析1--安装器阶段 - DirWangK - 博客园 (cnblogs.com)) LegacyBIOS→MBR→“活动的主分区”→\bootmgr→\Boot\BCD→\Wi 阅读全文
posted @ 2023-04-06 22:55 DirWangK 阅读(1728) 评论(0) 推荐(0)
BlackLotus 分析1--安装器阶段
摘要:BlackLotus 分析1--安装器阶段 文件信息 BlackLotus installer. sha1 :a5a530a91100ed5f07a5d74698b15c646dd44e16 start __int64 start() { //ThreadHideFromDebugger 反调试 N 阅读全文
posted @ 2023-04-02 22:55 DirWangK 阅读(835) 评论(2) 推荐(0)
PLAY ransomware
摘要:PLAY ransom ware 采用RSA1024+AES-256, 样本hash: 608e2b023dc8f7e02ae2000fc7dbfc24e47807d1e4264cbd6bb5839c81f91934 函数混淆 函数混淆示例 .text:004142A0 push ebp .text 阅读全文
posted @ 2023-03-14 23:28 DirWangK 阅读(74) 评论(0) 推荐(0)
MortalKombat(Xorist家族)勒索软件分析
摘要:MortalKombat勒索软件分析 MortalKombat属于Xorist家族,采用tea加密,可解密 start WPARAM __userpurge start@<eax>(int a1@<ebp>, int a2, int a3, int a4, int a5) { // [COLLAPS 阅读全文
posted @ 2023-02-24 23:28 DirWangK 阅读(512) 评论(0) 推荐(0)
ZFX
摘要:ZFX ZFX是Makop 勒索变种,采用RSA1024+AES-256-CBC,随机生成2个32字节的AESKEY,文件加密时随机生成新IV,轮询AESKEY,并使用内置公钥将AESKEY加密存储。没有私钥则无法解密文件。 文件信息 dialog 样本来源https://bbs.kafan.cn/ 阅读全文
posted @ 2023-02-14 23:41 DirWangK 阅读(911) 评论(0) 推荐(0)
某中文TG利用的Foundation.dll
摘要:Dll劫持27号导出函数,?startLogging@fde@@YAXPB_W@Z fde::startLogging fde::startLogging dump Dump出来是upx压缩,无魔改 简单分析 c2 ? 首次应该是 尝试连接d.nkking.com 失败就切换 192.168.1.2 阅读全文
posted @ 2023-01-14 22:07 DirWangK 阅读(345) 评论(0) 推荐(0)
tinyxml.dll dll劫持下载器
摘要:基本信息 QQExternal.exe加载tinyxml.dll 伪造证书 pdb信息 E:\其它文件\InternetRedirectNew\tinyxmlHook\Release\tinyxml.pdb dllmain 流程 创建服务 服务信息: MicrosoftSetupSystemTask 阅读全文
posted @ 2023-01-14 21:45 DirWangK 阅读(88) 评论(0) 推荐(0)
某dll劫持加载器样本分析
摘要:Dll劫持,RobocraftBase.dll,调用1号导出函数 LzSetArchive() load_10002BC0 加载加密的jibmao.xml文件 SRDI_10003320 阅读全文
posted @ 2023-01-07 11:10 DirWangK 阅读(63) 评论(0) 推荐(0)
某样本BPF bytecode 学习
摘要:Tricephalic Hellkeeper: a tale of a passive backdoor下载链接 最近学习ebpf看到篇样本分析"Tricephalic Hellkeeper: a tale of a passive backdoor",记录一下 隐蔽通信利用过滤特定包,类似有: c 阅读全文
posted @ 2022-09-22 23:02 DirWangK 阅读(112) 评论(0) 推荐(0)
Cobalt Strike httpstager shellcode
摘要:数据结构 利用qiling 分析 httpstager shellcode import os from typing import Dict from qiling import * from qiling.const import * from unicorn import * from uni 阅读全文
posted @ 2022-08-02 17:29 DirWangK 阅读(1778) 评论(0) 推荐(0)
某cs stager钓鱼样本分析
摘要:PE信息 分析 伪装检测邮件 创建线程加载shellcode 动态加载函数 通过GetTickCount反沙箱、反调试 通过uuid加载shellcode cs stager shellcode 阅读全文
posted @ 2022-06-19 17:51 DirWangK 阅读(102) 评论(0) 推荐(0)