他们想搞我，却被我溯源了（末）

接上：他们想搞我，却被我溯源了（始）一谷米粒，公众号：暗影安全他们想搞我，却被我溯源了（始）动态调试使用x32dbg对CnjD7msgz.exe进行动态调试。在CreateFile处下断点，发现CnjD7msgz.exe创建了一个“_TUProj.dat”文件，在内存中提取字符串，可以找到“CnjD7msgz.dat”压缩包密码。对CnjD7msgz.dat压缩包进行提取，可以得到下面几个文件。使用二进制工具查看后发现只有“_TUProj.dat”文件是有用的。“_TUProj.dat”内容如下所示g_table_char处是shellcode，下面使用win api执行。使用在线工具对shellcode进行转换使用ida对shellcode进行分析。这个shellcode主要做了2个操作：1、通过PEB获取一些函数地址2、读取“edge.xml”到内存执行使用二进制查看工具查看“edge.xml”从下面的特征可以看出这个文件是一个PE文件。对文件二进制格式进行修改后继续使用IDA进行分析创建计划任务 ………………………………