作者丨黑蛋
一、基本信息
文件名称
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
文件格式
RAR
文件类型(Magic)
RAR archive data, v5
文件大小
157.74KB
SHA256
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
SHA1
1c251974b2e6f110d96af5b23ad036954ba15e4e
MD5
c1c9624b21f71e4565b941a37db3815a
CRC32
59832D3D
SSDEEP
3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha
TLSH
T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92
Tags
rar,contains_pe
二、环境准备
| 系统版本 |
| Win7x86SP1 |
三、动态分析
用火绒剑观察一下:
图1:
图2:
图3:
图4
可以看到主要是释放了三个资源,一个自身exe,一个dat文件,一个dll。随后就是设置自启动,进行网络链接,进行释放模块的一个加载。
四、静态分析
exe没有什么东西,很简单一个加载dll,然后调用run函数:
分析dll,直接搜索run,找到run跟进去到了sub_10001BF0:
接下来是一部分代码注释:
最后return的函数里面是一个virtualproject。
我们动态抠出解密文档,调试exe,跟进run,在申请空间那里下断点:
完事直接在数据那里找到解密数据,是一个pe文件:
抠出来,放入010Editor生成文件,直接拖入ida,是一个dll文件,找到dllmain:
进入标记函数,一直跟进去,到了如下地方:
这里就是关键地方。
接下来有三个case,直接看注释:
case1:
case2:
sub_100153A0():
case3:
五、总结
很简单的一次分析,基本所有函数都不需要自行猜测,都是通过GetProcAddress函数获取,所以没有太详细分析,修改了函数名。大概流程就是这样
