恶意木马历险记

文章预览

起因 之前下载某个软件的时候，有点不对劲，六七百M，但是还是双击打开了，后来这个东西释放/下载了一些木马文件下来，Defender告警了，我才发现有问题，后来github的号都被盗了，非常的气愤，接下来分析一下这个小马。 Sha256 d77f0490f9c921baad0015c1eec2cafe1021814c8c28dee10a93179476fcb366 第一件事，DIE一下。 是C/C++写的，直接IDA，IDA帮我自动跳到main函数。 龙卷风 ? 很好，我就喜欢这种有强度的。 F5先试试水。 很好，不出意料，这个问题修改一下cfg先解决一下。 MAX_FUNCSIZE修改成512K之后，再f5。 很好，完全看不懂(这里其实至少可以看出有bcf在的，bcf也是ollvm里的一种混淆措施，不懂的可以google下，太基础的不讲了)。 先一个个来，先解决平坦化。 虽然看着比较吓人，但是稍微仔细看一下会发现，分发块的TRUE分支对应的真实块。 几乎所有的真实块最后都链接 ………………………………