对Amadey恶意软件中的字符串进行混淆

文章预览

前言 Sidekick 2.0 包含一组强大的功能，可帮助您完成各种任务。 今天，我们将应用其中的几个功能来对名为 Amadey 的恶意软件样本中的字符串进行反混淆。 Amadey在其Malpedia条目中解释道，它是一个僵尸网络，它会定期将有关系统和已安装的 AV 软件的信息发送到其 C2 服务器，并轮询以接收来自它的命令。它的主要功能是可以为所有或特定目标的受恶意软件感染的计算机加载其他有效负载（称为“任务”）。这个特定的恶意软件样本采用了一种混淆技术，将二进制文件引用的字符串存储为加密字符串，然后在运行时解密。这使得分析师更难以逆向工程和了解恶意软件正在做什么，同时也阻止了防病毒软件识别它。 查找解密函数 首先，我们需要在二进制文件中查找解密加密字符串的函数。 （注意： 此示例二进制文件已删除通常可帮助我们完成此任务 ………………………………