调试.net样本反射加载dll并动态Invoke函数

最新推荐文章于 2025-05-07 09:53:17 发布
最新推荐文章于 2025-05-07 09:53:17 发布
阅读量692 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 心情杂货铺
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cssxn/article/details/104994116
本文分析了一个使用.NET编写的木马样本,该样本内嵌了两个资源:一个用于解密png中的assembly的.netdll程序LAN_Core,以及一个用图片隐写技术嵌入了另一个.NET程序的png图片。通过逆向工程,我们展示了两种提取解密assembly数据的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一个.net写的木马样本,内嵌了两个资源,分别是:

  • LAN_Core (.net dll程序,用于解密png中的assembly)
  • ESgFXCQfRbAmmGdIaVSZ.png (用图片隐写技术嵌入了另一个.net程序)

主程序通过调用LAN_Core的f20方法,将自身资源png图片传入
在这里插入图片描述
这里的MyProperty 其实就是ESgFXCQfRbAmmGdIaVSZ.png的资源名
在这里插入图片描述
在这里插入图片描述

再来看看LAN_Core.f20函数做了什么?
1.获取参数传入的资源名称对应的Bitmap对象
2.将Bitmap对象作为参数传给了x3241243213213函数,这个函数从png图片中提取加密的数据,返回byte[]数组
3.将bytes数组传给f13函数,这个函数用来异或解密数组中的数据
在这里插入图片描述

现在想拿到解密出来的assembly数据,有两种方式:

方式一:自己新建一个c#项目,将png添加到资源,然后把LAN_CORE中的相关函数拷贝进来,按照f20函数的调用过程实现,如下demo所示

using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.Collections.Generic;
using System.Drawing;
using System.Reflection;
using System.Resources;


namespace WindowsFormsApplication1
{
    static class Program
    {
        /// <summary>
        /// 应用程序的主入口点。
        /// </summary>
        [STAThread]
        static void Main()
        {
            byte[] rawAssembly = f13(x3241243213213(f15("ESgFXCQfRbAmmGdIaVSZ")));
            Assembly assembly = AppDomain.CurrentDomain.Load(rawAssembly);


            Application.EnableVisualStyles();
            Application.SetCompatibleTextRenderingDefault(false);
            Application.Run(new Form1());
        }

        // Token: 0x0600000B RID: 11 RVA: 0x00002A00 File Offset: 0x00000C00
        public static Bitmap f15(string f16)
        {
            ResourceManager resourceManager = new ResourceManager("WindowsFormsApplication1.Properties.Resources", Assembly.GetEntryAssembly());
            return (Bitmap)resourceManager.GetObject(f16);
        }

        private static byte[] f13(byte[] ghet32412424124)
        {
            checked
            {
                byte[] array = new byte[ghet32412424124.Length - 16 - 1 + 1];
                Array.Copy(ghet32412424124, 16, array, 0, array.Length);
                int num = array.Length - 1;
                for (int i = 0; i <= num; i++)
                {
                    byte[] array2 = array;
                    int num2 = i;
                    array2[num2] ^= ghet32412424124[i % 16];
                }
                return array;
            }
        }

        // Token: 0x0600000D RID: 13 RVA: 0x00002A94 File Offset: 0x00000C94
        private static byte[] x3241243213213(Bitmap t2341234124312)
        {
            List<byte> list = new List<byte>();
            checked
            {
                int num = t2341234124312.Width - 1;
                for (int i = 0; i <= num; i++)
                {
                    int num2 = t2341234124312.Height - 1;
                    for (int j = 0; j <= num2; j++)
                    {
                        Color pixel = t2341234124312.GetPixel(i, j);
                        Color color = Color.FromArgb(0, 0, 0, 0);
                        bool flag = !pixel.Equals(color);
                        if (flag)
                        {
                            list.InsertRange(list.Count, new byte[]
							{
								pixel.R,
								pixel.G,
								pixel.B
							});
                        }
                    }
                }
                return list.ToArray();
            }
        }

    }
}

方法二: 直接在主exe程序中单步进Invoke函数
在这里插入图片描述

接着单步进入

在这里插入图片描述
继续步入
在这里插入图片描述

到Invoke实现函数里面,下面红框的地方下断 让程序跑起来
在这里插入图片描述
命中其中一个断点后,步入
在这里插入图片描述
继续步入

在这里插入图片描述

此时就到了LAN_CORE这个DLL的F20函数中了
在这里插入图片描述
经过解密函数,我们将解密后的rawAssembly内容,通过内存窗口查看
在这里插入图片描述
可以看到是个PE文件,默认是选中所有rawAssembly数据的,直接右键保存选中即可
在这里插入图片描述

样本md5:E10BC1816979208BB89BF14AE2281174

[网络安全提高篇] 一二九.Powershell恶意代码检测 (5)混淆和反混淆 [上]
杨秀璋的专栏
04-09 485
前文介绍了如何利用MS Defender实现恶意样本家族批量标注。这篇文章将继续讲解Powershell恶意代码检测,主要包括PowerShell混淆与反混淆内容,首先结合Invoke-Obfuscation工具详细介绍PowerShell代码混淆方法,再结合PowerDecode工具阐述解混淆方法。该研究将为后续的恶意软件家族分类或溯源提供帮助。未完待续,基础性文章,希望您喜欢,且看且珍惜。
.NET反射的应用 获取Dll参数
04-06
VB.NET C#可以通过反射获取Dll的参数列表,十分方便
[复习].netInvoke
anw53724的博客
01-22 173
话说接触.net一年有余,发觉身边许多用.net的人都不知道“线程”这回事,他们写的程序都是单线程的,从不考虑把一个耗时较多的操作放到一个工作线程中,所以一旦数据库操作长时间没反应,程序界面也就跟着卡死了……而线程对于有着多年Windows编程经验的我来说,再熟悉不过。 一般来说,程序的界面处理是用一个线程(通常同时作为主线程),而工作线程则可能有好几个,比较理想的情况下据说是跟CPU...
在C#中使用P/Invoke调用C++ DLL函数实战指南
最新发布
weixin_30765637的博客
05-07 912
简介:本教程详细介绍了.NET框架中C#如何调用C++编写的DLL类库方法,涵盖了相关的关键技术要点。通过使用P/Invoke和CLR封送机制,C#可以访问C++ DLL中的函数。教程将指导如何创建C++ DLL,如何在C#中使用DllImport属性引用这些函数,以及如何处理封送、调用约定、线程安全等关键问题。最后,通过示例代码演示了整个调用过程。
.net如何调试dll
a448789434的博客
02-04 488
引用"谢绝关注的BLOG" http://blog.sina.com.cn/s/blog_50cc0ffd0100cqhp.html 在同一个解决方案中一定要将调用DLL文件的工程设为启动项目 方法一: 1、dll工程>>属性>>配置属性>>生成>>选择目录文件夹为要调用该dll文件的工程的bin文件夹 2、在要调用该...
利用.net反射调用 方法
注重长远 天天积累 cqujsjcyj
03-28 647
2011-3-281. 利用.net反射调用 方法  protected void invokeTheMethod(object theObject, string strMethod, object[] objParms)        {            Type objType = theObject.GetType();  //--得到对象的类型 cyj 2011-3-28     ...
.NETInvoke和BeginInvoke
10-15 1143
.NET中,固定必须主线程才能操作UI界面,如果在非主线程中强行对UI界面赋值,则会报错,跨线程操作UI,是不允许的,需要使用Invoke或BeginInvoke,关于这两个什么时候用,简单来讲,一个是同步,一个是异步,更深底层的话,查阅了相关资料,没看明白,扯到了windows程序消息机制去了,使用windows消息机制实现了封送,我是没看懂这个什么消息机制>_
C# .net 调用摄像头拍照功能
11-29
在C#项目中,由于.NET Framework本身不直接支持Media Foundation,我们需要引用`System.Runtime.InteropServices`命名空间,使用P/Invoke技术来调用Windows API。首先,添加以下代码引入Media Foundation DLL...
【C#动态类型魔法】:使用反射动态类型处理ASTM数据的灵活性提升
本章将介绍动态类型和反射的基本概念,为后续章节深入探讨反射机制和动态类型特性打下基础。 C#中的动态类型是由关键字 `dynamic` 提供的,它允许我们编写看起来更像是动态类型语言的代码,但在运行时还是转换成了...
一系列令人敬畏的.NET核心库,工具,框架和软件
weixin_30530939的博客
06-17 3671
内容 一般 框架,库和工具 API 应用框架 应用模板 身份验证和授权 Blockchain 博特 构建自动化 捆绑和缩小 高速缓存 CMS 代码分析和指标 压缩 编译器,管道工和语言 加密 数据库 数据库驱动 数据库工具和实用程序 日期和时间 分布式计算 电子商务和支付 例外 功能编程 图像 GUI IDE 国际化 国际奥林匹克委...
逆向工程实验
FFFde博客
01-18 2716
逆向工程实验1、PE头及导入表应用2、PE导出表分析及应用3、应用软件破解4、壳应用 1、PE头及导入表应用 1、PE可执行文件分析 1.1开发一个源程序 HelloWorld .asm,显示hello world。 .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.in
万能动态库调用工具IDMA(InvokeDllMethodsAdvance)
11-29
InvokeDllMethodsAdvance简称IDMA,是一个万能的动态库调用工具,不用编写任何代码,就可以调用符合WINAPI标准的任意动态库文件(WINAPI标准即__stdcall调用约定)。 此工具非常适合上位机软件开发或测试人员,可以省去编写demo的时间,直接使用此工具进行调试,有助于开发人员将更多的时间集中在功能开发上。
.NET----Invoke与BeginInvoke详解
LIXer_Qg的博客
07-13 361
在博客园上看到的一篇关于Invoke与BeginInvoke的详细讲解,内容通俗易懂。 原文地址:https://www.cnblogs.com/worldreason/archive/2008/06/09/1216127.html
深入.NET中的invoke与beginInvoke
weixin_33431149的博客
11-06 964
本文还有配套的精品资源,点击获取 简介:在.NET框架中,多线程编程在UI应用程序中为实现界面流畅性和后台处理行性至关重要。本文详细探讨了关键方法invoke和beginInvoke的原理、使用场景及其在多线程环境中的重要性。这两个方法都与委托(Delegate)紧密相关,且在多线程通信和控件交互中发挥着关键作用。文章从委托的基本概念出发,深入分析了invoke与beg...
.NET应用程序调试—原理、工具、方法
dengzai7446的博客
10-15 413
阅读目录: 1.背景介绍 2.基本原理(Windows调试工具箱、.NET调试扩展SOS.DLL、SOSEX.DLL) 2.1.Windows调试工具箱 2.2..NET调试扩展包,SOS.DLL、SOSEX.DLL 2.3.调试系统的基本流程及架构(.NETDAC概念、mscordacwks.dll) 2.4.VisualStudio中集成扩展调试(更加细粒...
.Net的异步机制(Invoke,BeginInvoke,EndInvoke) - step 2
好吃懒做
03-24 1325
上一篇文章(什么是.Net的异步机制(委托Delegate) - step 1)中,我已经解释了什么是异步编程,那么现在我们就开始具体的说怎样异步编程.  我们怎样进行异步编程/开发? 现在扩充下上篇文章的类(AsyncTest),提供更多的例子从中做下简单的对比, 从新的认识下异步的内部机制,下面我们增加一个新的委托1步,我们添加一个新方法(计算年薪YearlySalary
.net core 调用c dll_UAC绕过新思路:探寻从.NET调用本地Windows RPC服务器
weixin_39768645的博客
11-23 479
一、前言通常情况下,我热衷于在Windows中寻找安全漏洞,但在一些场景中,我更喜欢编写工具来辅助我和其他研究者的漏洞挖掘挑战。本文主要描述了我如何利用在沙箱分析项目中新开发的工具来从.NET访问本地Windows RPC服务器。我将提供一个PowerShell中的工具,以案例来说明一种新型的、以前未曾披露过的UAC绕过方式。在这里,我们将不会详细介绍在开发工具中遇到的挑战与解决过程...
.Net P/Invoke学习日记(二)
冰河の泥鱼的专栏
02-07 2095
.NET里面调用非托管DLL,这里就用本地调用Win32 Api来说,首先需要确定的是非托管函数的原型->.NET函数的映射关系。WIN32 API可以在MSDN以及很多工具里面查到,里面定义的常量,结构也可以在相关的头文件里面找到,比较麻烦。这里推荐一个好工具API浏览器.NET,可以方便的查询数千个API以及结构,上万个常量。该软件需要免费注册,不过没注册也没关系,只有一些小小的限制而已。:
C#调用FFT库的快速指南及文件下载
在C#上实现可调用的快速傅里叶变换(FFT)通常涉及使用外部DLL动态链接库),这是因为FFT算法的实现相对复杂,通常需要较高的数学和工程能力,以及对性能优化的精细控制。此外,由于FFT广泛应用于数字信号处理和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值