Stager

Kyrie-Lrving 2024-11-04 17:45:30 65 0


打开文件,我们看到

varc='powershell -noP -sta -w 1 -enc

指示 powershell stager,将 powershell 安装到你的系统上,为进一步分析做准备,让我们继续

IAAkAHsASABtAGAANABPAGAATgB1AH0AIAAgAD0AIABbAHQAeQBQAGUAX....

大量的 base64,通过cyberchef运行,并用结果覆盖 base64

.$.{.H.m.`.4.O.`.N.u.}. . .= ....

现在我们有很多点,你可以手动删除它们,但这太麻烦了,所以使用 vscode,我们可以自动删除文件中的所有点

${Hm`4O`Nu}  = [tyPe]("{2}{0}{4}{7}{5}{1}{6}{3}{8}....

现在你应该有像这样开始的东西,现在你可以通过在每一个后面添加一个换行符来清理一下代码;,这样代码之间就会有一些空格,使其更容易阅读

再次强调,你可以手动解码所有这些(如果你知道 powershell),但由于我们是新手,我们只需要让 powershell 运行代码并给出解码结果

pwsh -> ("{2}{0}{4}{7}{5}{1}{6}{3}{8}"-f 'EtSe','N','SYSTemn','AnAGe','rVIc','oI','TM','eP','r') ;

打开 powershell 并运行这段代码,这将返回SYSTemnEtSerVIcePoINTMAnAGer,我们可以对其余代码执行类似操作,直到找到 stager url,即

aAB0AHQAcAA6AC8ALwB3AGkAawBpAC4AbgAwADAAYgB6AHUAbgBpAHQAMwBkAC4AeAB5AHoAOgA4ADAAOAAwAA==
-> wiki.n00bzunit3d.xyz

forensics-deobf.md中的半完整反混淆文件

以这种方式解码混淆的 powershell 时要小心,因为你可能会意外地运行具有更复杂混淆的恶意代码

如果你想了解更多,我建议你观看约翰·哈蒙德的恶意软件分析视频,因为它们包含了这里使用的技术

n00bz{wiki.n00bzunit3d.xyz}

分类:MISC
image
作者:Kyrie-Lrving

41

提交

0

收入

相关WriteUP

问题反馈