作者丨黑蛋
一、基本信息 文件名称 00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 文件格式 RAR 文件类型(Magic) RAR archive data, v5 文件大小 157.74KB SHA256 00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 SHA1 1c251974b2e6f110d96af5b23ad036954ba15e4e MD5 c1c9624b21f71e4565b941a37db3815a CRC32 59832D3D SSDEEP 3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha TLSH T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92 Tags rar,contains_pe
二、环境准备 系统版本
Win7x86SP1
三、动态分析
用火绒剑观察一下:
图1:
图2:
图3:
图4
可以看到主要是释放了三个资源,一个自身exe,一个dat文件,一个dll。随后就是设置自启动,进行网络链接,进行释放模块的一个加载。
四、静态分析
exe没有什么东西,很简单一个加载dll,然后调用run函数:
分析dll,直接搜索run,找到run跟进去到了sub_10001BF0:
接下来是一部分代码注释:
最后return的函数里面是一个virtualproject。
我们动态抠出解密文档,调试exe,跟进run,在申请空间那里下断点:
完事直接在数据那里找到解密数据,是一个pe文件:
抠出来,放入010Editor生成文件,直接拖入ida,是一个dll文件,找到dllmain:
进入标记函数,一直跟进去,到了如下地方:
这里就是关键地方。
接下来有三个case,直接看注释:
case1:
13.png
!
case2:
sub_100153A0():
case3:
五、总结
很简单的一次分析,基本所有函数都不需要自行猜测,都是通过GetProcAddress函数获取,所以没有太详细分析,修改了函数名。大概流程就是这样。