远控x1

FD丶纸鸢

还会加驱动

kkdy

火绒kill

Fadouse

MD Kill

---

初步行为分析

加载驱后外联C2服务器(123.99.198.201, port 20474)
通过HttpDebuugger软件发现流量不是http(s)协议，但基于TCP

通过sni嗅探发现并没有域名，是直接连接ip


存在心跳包（一分钟一次，客户端发送16B数据，服务端返回24B数据）



IDA + GPT 初步逆向分析

1. 根据你提供的代码段，它很可能是一个恶意的 shellcode 加载器，尤其是因为它展示了几个典型的恶意代码模式，特别是涉及数据加密/混淆、异常处理、和动态代码执行。以下是支持该推测的几个关键点：
   
2. 
   
3. 1. 加密/混淆机制（sub_537774）
   
4. sub_537774 对数据块进行逐字节异或加密/解密操作，这种行为在恶意软件中常见。它通常用于将 shellcode 或恶意 payload 进行混淆，防止静态分析和检测工具识别。
   
5. 加密的核心逻辑使用 (v3 + a3) 的字节进行异或，这种简单的加密技术通常用于隐藏重要代码或数据（例如 shellcode），直到运行时才解密。
   
6. 2. 异常处理机制
   
7. sub_536E29, sub_536CC0, 和 sub_536B93 都涉及 C++ 的异常抛出，尤其是 _CxxThrowException 函数。这些异常处理可能用于：
   
8. 逃避调试器：恶意代码常使用异常处理来反调试。如果调试器未正确处理异常，程序会崩溃或异常行为暴露。
   
9. 控制流程隐藏：通过异常处理来混淆控制流，使得逆向工程更困难。
   
10. 反沙盒：异常处理有时用于检测程序是否在受限的执行环境中（如沙盒环境），一旦检测到这些环境，恶意代码可能不会执行或采取不同的路径。
    
11. 3. shellcode 执行的迹象
    
12. sub_5377B7 函数中通过函数指针 v3 动态调用了一段代码（v3()）。这通常是恶意 shellcode 执行的典型模式：
    
13. 通过某种解密或反混淆后，程序获取到一个函数指针，并直接执行它。这个函数指针通常指向被加密或混淆的 shellcode。
    
14. 在调用之前，代码还会进行加密数据的拷贝（qmemcpy(v4, aVhs5421E1Luyou, sizeof(v4));），这也表明有某种数据处理（可能是解密后的 shellcode）即将执行。
    
15. 4. ExitProcess(0) 调用
    
16. ExitProcess(0) 是在执行完动态加载的代码后被调用的，这意味着程序意图在执行恶意行为后迅速退出，防止进一步的检测或分析。这种行为在恶意软件和 shellcode 加载器中非常常见，因为它们在完成任务后希望尽快终止进程以避免被检测。
    
17. 5. 资源清理机制（sub_536B93）
    
18. sub_536B93 处理内存指针的释放，同时会在特定条件下抛出异常。这种对内存管理的精细控制，可能是为了清理加载器使用的资源，防止留下痕迹。
    
19. 6. 恶意加载器的典型特征
    
20. 恶意 shellcode 加载器通常会：
    
21. 解密/解混淆 payload（sub_537774 的功能）。
    
22. 使用函数指针或动态调用执行解密后的 shellcode。
    
23. 使用异常处理、反调试和资源清理等技术来逃避检测和阻止逆向工程。
    
24. 进一步分析建议
    
25. 要确定该代码是否确实为恶意 shellcode 加载器，建议采取以下进一步步骤：
    
26. 
    
27. 静态分析与动态调试：
    
28. 
    
29. 在加载器执行时，使用调试器（如 x64dbg）查看内存中的数据，看加密/混淆的数据（通过 sub_537774 处理）在解密后是否形成可执行的 shellcode。
    
30. 设置断点在 v3() 的调用处，查看该函数指针指向的地址，并分析其执行的机器码。
    
31. 检查外部资源访问：
    
32. 
    
33. 监控代码是否在解密后的执行过程中尝试访问外部网络或下载额外的 payload。这是典型的恶意行为，表明它不仅是加载器，还可能是恶意的 C2（命令与控制）连接点。
    
34. 使用沙箱运行：
    
35. 
    
36. 在安全的沙盒环境中执行该代码，观察其行为，看看是否有可疑的网络活动、文件操作、注册表修改等恶意行为。
    
37. 总结
    
38. 从现有的代码段分析，它具有许多恶意 shellcode 加载器的特征，尤其是加密/混淆处理、异常抛出和函数指针执行机制。这些模式广泛存在于恶意软件中，因此可以推测它可能是一段恶意 shellcode 加载器。如果确实是恶意代码，它的目的可能是动态加载并执行一段隐藏的 shellcode，在执行完恶意操作后迅速退出程序。

复制代码

御坂14857号

360

GDHJDSYDH

EIS kill

金山毒霸报告：间谍程序

inhh1

BD:实时防护检测到威胁。文件已被隔离。._cache_房权限.exe 是恶意软件 Dump:Generic.KillMBR.A.DDC7421B

Loyisa

毛豆双击kill

淘淘巷

卡巴斯基 kill

1. 组件: 文件反病毒
   
2. 结果说明: 检测到
   
3. 类型: 木马
   
4. 名称: HEUR:Backdoor.Win32.Generic
   
5. 精确度: 不确切
   
6. 威胁级别: 高
   
7. 对象类型: 文件
   
8. 对象名称: ._cache_房权限.exe
   
9. 对象路径: F:\Downloads\Compressed
   
10. 对象的 MD5: 5C681BDF4E64797A5CAA4E1E8B0AE3AF
    
11. 原因: 专家分析
    
12. 数据库发布日期: 昨天，2024/9/30 10:08:00

复制代码

kaba666

卡巴解压，启发杀