偃师网站制作【偃师网站优化】偃师建网站、偃师微信公众号运营、偃师网页设计、偃师微信小程序商城

偃师网站制作【偃师网站优化】偃师建网站、偃师微信公众号运营、偃师网页设计、偃师微信小程序商城

偃师区，隶属于河南省洛阳市，位于河南省西部，总面积668.58平方千米 [1]  。截至2019年末，偃师区总人口63.2万人 [3]  ，截至2020年6月，偃师区下辖4个街道、9个镇 [2]  ，偃师区人民政府驻槐新街道民主路27号。 [24] 

周，设偃师县。1993年，偃师撤县设市。 [4]  2021年3月，撤销县级偃师市，设立洛阳市偃师区 [25]  。偃师区是河南省制造业高质量发展综合评价试点市 [5]  、革命文物保护利用片区分县 [6]  、国家卫生城市（区）。 [18] 

2019年，偃师区实现地区生产总值443.6亿元，固定资产投资193.8亿元，一般公共预算收入24.6亿元，社会消费品零售总额222.6亿元。 [7] 

前言

本文章只分析了木马加载的过程，不分析木马功能

背景

护网期间一个朋友发给我的样本让我帮忙分析一下

分析过程

1. ExeinfoPe查了一下是一个C#的程序，然后加了个混淆直接de4dot处理一下拉入dnspy

   
   反编译之后看没发现什么http请求，启动函数运行了一个frmMain窗体，看了看代码什么的发现是一个正常的窗体程序，什么也没发现

2. 动态调试

   
   程序肯定是有问题的，于是就动态调试发现，这个程序是一个加载程序，他找了一套正常程序的源码重写了一个属性的set函数 在set函数中，从资源文件拿到dll然后加载dll

3. 利用反射加载dll之后 反射调用函数

1. Type type = assembly.GetTypes()[0];

2. MethodInfo method = type.GetMethod("Click");

3. method.Invoke(0, parameters);

   

   

   反射获取到第一个类，然后获取该类的Client函数，参数分别是 "OVAGp","bAJs","Finast"

4. 直接dnspy动态调试 dump出来dll文件

5. dll也是C#的 然后加了混淆直接de4dot处理 然后拖入dnspy

6. dnspy dll反编译

   

   看着这样一个正常的程序，我们直接找一个Client的函数

   

   一眼就是反射调用，不过他是通过vb.net的

   dll是保存在资源图片中的 这个不用关注 我们直接把处理之后的的rawAssembly 给dump出来就好了

7. dump出来的dll还是一个C#的 是有复杂的混淆的 de4dot处理不了，我直接找画眉师傅给处理了一下然后拉到dnspy里面看了看 就是真实的木马样本。

总结

此样本是一个加载器 首先从资源文件中拿到dll通过C#的反射加载起来，然后该dll再次从资源文件中拿到一个图片，从图片中提取出来功能dll，通过Microsoft.VisualBasic库的反射加载起来功能dll，

加载器和dll都是伪装成了正常的程序，如果不仔细看的时候 就可能以为是一个正常程序放过去了

偃师网站制作【偃师网站优化】偃师建网站、偃师微信公众号运营、偃师网页设计、偃师微信小程序商城