一次驱动人生病毒逆向分析的记录

时间  2021-01-16 标签 逆向 病毒 python

一次驱动人生病毒逆向分析的记录

(收到病毒样本时我是懵逼的

折腾了一天,经过大佬的指点,终于提出了源码

此为样本运行情况:
在这里插入图片描述

1、经过经验与尝试,发现可以用py解包

下载pyinstxtractor.py和Easy Python Decompiler v1.3.2

https://sourceforge.net/projects/pyinstallerextractor/

https://github.com/aliansi/Easy-Python-Decompiler-v1.3.2

2、尝试将样本进行解包

语句:python3 pyinstxtractor.py 样本名
在这里插入图片描述
提示失败,参考此文章的最后部分:https://blog.csdn.net/m0_37552052/article/details/88093427

用Editor对样本进行查看,寻找MEI
在这里插入图片描述发现有很多MEI后有很多垃圾数据混淆了,删除MEI+88位后的数据,保存
在这里插入图片描述进行解包,成功
在这里插入图片描述
3、对解包后的文件进行查看
在这里插入图片描述寻找没有后缀名的文件进行尝试(https://www.cnblogs.com/pcat/p/8990482.html)

然后放到Editor中查看,增加8字节的pyc头(magic+时间戳),magic可参考同文件夹下struct的前4字节(03F30D0A),并将文件后缀改为.pyc
在这里插入图片描述然后使用Easy Python Decompiler v1.3.2,解出一个文件
在这里插入图片描述
打开文件,发现部分代码被加密了,参考文章(https://www.cnblogs.com/qiyeboy/p/11524806.html)
在这里插入图片描述重新编辑代码并输出到文件
在这里插入图片描述查看输出的文件,解密成功,搜索http即可找到恶意的域名,如:
在这里插入图片描述

联系我们 沪ICP备13005482号-10