【PC样本分析】记录自己的第一次红队钓鱼样本分析

主要观点总结

本文记录了对一个红队钓鱼样本的分析过程，涉及对压缩包内容的详细解析，包括快捷方式属性、python环境、ftp命令执行等。还提到了使用AI还原混淆代码的过程，包括XOR解密、base64解码、反序列化等步骤。最后提取了原始shellcode并进行了调试分析。

关键观点总结

关键观点1: 分析流程

查看流量，解压样本，分析快捷方式属性，查看python环境及ftp命令执行，解析混淆代码，提取并解密shellcode。

关键观点2: AI还原混淆代码

使用ChatGPT等工具还原混淆的python代码，涉及XOR解密、base64解码等步骤。

关键观点3: Shellcode分析

Shellcode经过sgn编码，通过x64dbg调试发现动态解密过程，最终通过断点dump原始的shellcode，并使用CobaltStrikeParser进行解析分析。

文章预览

作者 论 坛账号： yinsel 记录自己的第一次红队钓鱼样本分析 前言 HVV 遇到了邮件钓鱼，有个样本挺有趣，自己又没分析过样本，于是便想尝试分析一下，并记录下来，同时学习一下红队大佬们的思路，大佬勿喷，讲的比较哆嗦。 详细分析过程 尝试上线分析流量 先尝试上线看看流量，这里我用  proxifier  强制走  Reqable  分析一下流量： 使用了阿里CDN，有点像 CS 的流量： 查一下域名，好家伙还是备案的： 估计用了域前置（我也想用啊 QAQ），话不多说，开始分析！ 分析上线流程 样本是一个压缩包，解压后包含一个快捷方式以及一个文件夹： 解压后： 文件夹的内容： 这一看就是打包的一个 python 环境，并且是 embed 版本，可以在这里找到对应的版本下载： https://www.python.org/ftp/python/ 接着查看快捷方式属性： 这种快捷方式我见的比较少，他利用了 ft ………………………………