dylanharrisfl/Malware-Analysis
GitHub: dylanharrisfl/Malware-Analysis
一个恶意软件分析教程,展示如何手动分析伪装成合法安装包的可疑可执行文件,从检测到解构全过程。
Stars: 0 | Forks: 0
# 恶意软件分析
Hack The Box - Subatomic
初识
仅看这个可执行文件,我们可以发现它被伪装成标准用户应用程序安装包。它具有看似正常的产品名称和版权信息,如下所示:
进一步查看,我们可以看到存在一个数字签名,很可能是为了让它看起来像一个合法的文件。再仔细检查,我们可以发现签名无效,这意味着这实际上并不是由微软签署的包:
首先,我们想要获取这个可执行文件的哈希值:
然后我们可以将其与 VirusTotal 进行比对以获取关于该文件的更多信息:
VirusTotal 提供了更多关于签名的信息:
使用标准的 zip/7z 解压未能获得 .nsi 文件。安装了 Flare VM
找到了密钥
了解到需要使用 asar 命令而不是 7zip 来正确解包此文件并查看内容。
提取出了 json 文件
obfuscation
进一步查看,我们可以看到存在一个数字签名,很可能是为了让它看起来像一个合法的文件。再仔细检查,我们可以发现签名无效,这意味着这实际上并不是由微软签署的包:
首先,我们想要获取这个可执行文件的哈希值:
然后我们可以将其与 VirusTotal 进行比对以获取关于该文件的更多信息:
VirusTotal 提供了更多关于签名的信息:
使用标准的 zip/7z 解压未能获得 .nsi 文件。安装了 Flare VM
找到了密钥
了解到需要使用 asar 命令而不是 7zip 来正确解包此文件并查看内容。
提取出了 json 文件
obfuscation
标签:Ask搜索, CTF挑战, DAST, DNS 解析, Flare VM, Hack The Box, NSIS安装程序, VirusTotal, 云资产清单, 哈希计算, 恶意软件分析, 恶意软件解密, 数字签名验证, 数据可视化, 网络安全, 解包, 逆向工程, 隐私保护