作者丨黑蛋

一、基本信息

文件名稱
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
文件格式
RAR
文件類型(Magic)
RAR archive data, v5
文件大小
157.74KB
SHA256
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
SHA1
1c251974b2e6f110d96af5b23ad036954ba15e4e
MD5
c1c9624b21f71e4565b941a37db3815a
CRC32
59832D3D
SSDEEP
3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha
TLSH
T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92
Tags
rar,contains_pe

二、環(huán)境準(zhǔn)備

系統(tǒng)版本

Win7x86SP1

三、動態(tài)分析

用火絨劍觀察一下：
圖1：

圖2：

圖3：

圖4

可以看到主要是釋放了三個資源，一個自身exe，一個dat文件，一個dll。隨后就是設(shè)置自啟動，進(jìn)行網(wǎng)絡(luò)鏈接，進(jìn)行釋放模塊的一個加載。

四、靜態(tài)分析

exe沒有什么東西，很簡單一個加載dll,然后調(diào)用run函數(shù)：

分析dll，直接搜索run，找到run跟進(jìn)去到了sub_10001BF0:

接下來是一部分代碼注釋：

最后return的函數(shù)里面是一個virtualproject。
我們動態(tài)摳出解密文檔，調(diào)試exe，跟進(jìn)run，在申請空間那里下斷點(diǎn)：

完事直接在數(shù)據(jù)那里找到解密數(shù)據(jù)，是一個pe文件：

摳出來，放入010Editor生成文件，直接拖入ida，是一個dll文件，找到dllmain：

進(jìn)入標(biāo)記函數(shù)，一直跟進(jìn)去，到了如下地方：

這里就是關(guān)鍵地方。
接下來有三個case，直接看注釋：
case1：

case2：

sub_100153A0()：

case3：

五、總結(jié)

很簡單的一次分析，基本所有函數(shù)都不需要自行猜測，都是通過GetProcAddress函數(shù)獲取，所以沒有太詳細(xì)分析，修改了函數(shù)名。大概流程就是這樣。