simplestuff
最近抓到了一段简单恶意代码和其发出的流量,你能破解他吗?
流量包全是TCP流量, 看不出来什么, 从二进制开始分析
字符串里的crontab和flag引起了我的注意, 跟一跟
在引用了flag的函数里发现了这个东西, 把TCP包有用的部分截下来XOR一下
得到这个, 不过后半部分是乱码, 看看后半部分. 这个文件里有多处InterlockedCompareExchange, 让我怀疑是不是还有其他线程, 尝试动调一下吧
惊讶的发现源文件没了, 只留下了一个0字节的文件, 但是crontab里没有新增项...疑惑啊..再来一次
注意main要进到这个函数
需要是五秒整倍左右, 可以动调改数, 直接进行一个0的改
这一串函数会设定一些值, 先忽略
sample是我自己写的, 这说明这一段确实是读的flag
说明中间还是改动了, 但是我没跟到
但是从PseudoCode上看异或结束直接去Label8了, 中间不应该有变动. 无妨, 我们再来一次
我自己的sample正常异或结果应该是这个
3e 06 16 11 0b 01 65 46 18 0e 47 1f 16 09 19 03 13 00 10 3a 0f 2c 16 41 19 1f 4c 01 3d 07 1c 11 2b 14
我们看看哪里开始不一样了
哦原来dbapp后面还应该有个\0.....
评论 (0)