Tupler
[ 分类 ] [ 归档 ] [ 标签 ] [ 关于 ]
Tupler

Contents

谷歌上钓鱼电报软件中的Lolbins分析

 included in re
   39 words   One minute 

2023.7.20发布

0x00.前言

最近在谷歌上发现一个msi安装文件 发现里面用的Shellcode loader是一个有签名的文件

https://s2.loli.net/2023/08/27/aD53g6nMOze7JIx.png

于是乎就想着分析一波是什么情况

0x01.查壳

https://s2.loli.net/2023/08/27/M7VnAjk4KrPgbuE.png

发现upx直接脱了 upx -d或者 esp定律

0x01.静态分析

观察.dat的文件发现是zip 但是需要密码

https://s2.loli.net/2023/08/27/7GsfVI2DiavX9dM.png

因为会加载同目录的.dat文件我们直接搜索字符串.dat

https://s2.loli.net/2023/08/27/NCm1oBenHziSFqK.png

跟进去看看 发现一些提示文字

https://s2.loli.net/2023/08/27/uksBn9Rcwi8VfLF.png

Failed to extract project file (2) to me 这边应该是解压的

交叉引用看看

https://s2.loli.net/2023/08/27/ZmDBaJC7u6TzGqA.png

https://s2.loli.net/2023/08/27/yRiV9sdBv5DxFIE.png

根据上下文 分析出99B2328D3FDF4E9E98559B4414F7ACB9 为解压密码

解压出来有5个文件 其中_TUProj.dat包含着lua加载shellcode的代码

https://s2.loli.net/2023/08/27/WCTbKPgHEMrm2ct.png

0x03.再利用

我们将其中的shellcode改成信息框的shellcode 并用注释符号保持文件原来的大小

https://s2.loli.net/2023/08/27/SW1lyQmZDCBudqz.png

成功~ 因为有数字签名所以基本不杀

8.1更新

可以用TrueUpdate这个软件进行编辑~

Updated on 2023-07-20
 re
Back | Home