前言概述

群里有朋友私信我，说面试的时候需要分析一个样本，最后没有过，说只分析停留在外壳代码，没有深入进去，让我有空帮忙看看，简单看了一下这个样本，发现有点意思，给想从事恶意软件分析的朋友一些参考。

详细分析

1.样本无加壳，编译时间为2022年1月13日，如下所示：

2.主体代码结构，如下所示：

3.进入sub_405200函数，很明显对某个内存地址进行了赋值操作，如下所示：

4.最后跳转执行该地址代码，如下所示：

5.该内存地址是通过GlobalAlloc动态分配的，如下所示：

6.将shellcode代码，拷贝到分配的内存地址当中，如下所示：

7.赋值之后的内存代码，如下所示：

8.解密shellcode代码，如下所示：

9.解密之后的shellcode代码，如下所示：

10.跳转执行解密出来的shellcode代码，如下所示：

11.外壳代码基本上就分析完了，进入shellcode代码，获取相关函数地址，如下所示：

12.解密第二段shellcode数据，如下所示：

13.通过VirtualAlloc分配内存空间，然后将第二段shellcode解密拷贝到分配的内存空间，如下所示：

14.跳转执行到第二段shellcode代码，如下所示：

15.第二段shellcode代码，如下所示：

16.分配内存空间，如下所示：

17.将shellcode代码中payload数据拷贝到分配的内存空间当中，如下所示：

18.拷贝完成之后内存空间，如下所示：

19.将payload代码加载到00400000内存代码中，如下所示：

20.跳转到加载到内存的payload代码入口点执行，如下所示：

21.main函数主体代码，如下所示：

22.查找程序中资源数据，如下所示：

23.获取资源数据到内存当中，如下所示：

24.解密出payload数据，如下所示：

25.使用CLR非托管接口调用payload恶意代码，如下所示：

26.调用payload的恶意类代码，如下所示：

27.payload的恶意类代码，如下所示：

28.恶意类代码加载程序中的资源数据，资源数据，如下所示：

29.该资源数据包含的恶意payload为NET语言编写并使用.NET Reactor加壳，如下所示：

30.脱壳之后，动态调试，解密出payload相关数据，如下所示：

31.通过分析payload为RedLine Stealer窃密木马，会枚举Chrome和Opera GX Stable的登录数据、Web 数据、Cookies文件夹，如下所示：

32.搜索以下加密货币相关Google Chrome、Microsoft Edge和Mozilla Firefox扩展是否存在，解密出硬编码的搜索的加密钱包扩展列表，如下所示：

加密钱包列表，如下：
ffnbelfdoeiohenkjibnmadjiehjhajb|YoroiWallet
ibnejdfjmmkpcnlpebklmnkoeoihofec|Tronlink
jbdaocneiiinmjbjlgalhcelgbejmnid|NiftyWallet
nkbihfbeogaeaoehlefnkodbefgpgknn|Metamask
afbcbjpbpfadlkmhmclhkeeodmamcflc|MathWallet
hnfanknocfeofbddgcijnmhnfnkdnaad|Coinbase
fhbohimaelbohpjbbldcngcnapndodjp|BinanceChain
odbfpeeihdkbihmopkbjmoonfanlbfcl|BraveWallet
hpglfhgfnhbgpjdenjgmdgoeiappafln|GuardaWallet
blnieiiffboillknjnepogjhkgnoapac|EqualWallet
cjelfplplebdjjenllpjcblmjkfcffne|JaxxxLiberty
fihkakfobkmkjojpchpfgcmhfjnmnfpi|BitAppWallet
kncchdigobghenbbaddojjnnaogfppfj|iWallet
amkmjjmmflddogmhpjloimipbofnfjih|Wombat
fhilaheimglignddkjgofkcbgekhenbh|AtomicWallet
nlbmnnijcnlegkjjpcfjclmcfggfefdm|MewCx
nanjmdknhkinifnkgdcggcfnhdaammmj|GuildWallet
nkddgncdjgjfcddamfgcmfnlhccnimig|SaturnWallet
fnjhmkhhmkbjkkabndcnnogagogbneec|RoninWallet
aiifbnbfobpmeekipheeijimdpnlpgpp|TerraStation
fnnegphlobjdpkhecapkijjdkgcjhkib|HarmonyWallet
aeachknmefphepccionboohckonoeemg|Coin98Wallet
cgeeodpfagjceefieflmdfphplkenlfk|TonCrystal
pdadjkfkgcafgbceimcpbkalnfnepbnk|KardiaChain
bfnaelmomeimhlpmgjnjophhpkkoljpa|Phantom
fhilaheimglignddkjgofkcbgekhenbh|Oxygen
mgffkfbidihjpoaomajlbgchddlicgpn|PaliWallet
aodkkagnadcbobfpggfnjeongemjbjca|BoltX
kpfopkelmapcoipemfendmdcghnegimn|LiqualityWallet
hmeobnfnfcmdkdcmlblgagmfpfboieaf|XdefiWallet
lpfcbjknijpeeillifnkikgncikgfhdo|NamiWallet
dngmlblcodfobpdpecaadgfbcggfjfnm|MaiarDeFiWallet
ffnbelfdoeiohenkjibnmadjiehjhajb|YoroiWallet
ibnejdfjmmkpcnlpebklmnkoeoihofec|Tronlink
jbdaocneiiinmjbjlgalhcelgbejmnid|NiftyWallet
nkbihfbeogaeaoehlefnkodbefgpgknn|Metamask
afbcbjpbpfadlkmhmclhkeeodmamcflc|MathWallet
hnfanknocfeofbddgcijnmhnfnkdnaad|Coinbase
fhbohimaelbohpjbbldcngcnapndodjp|BinanceChain
odbfpeeihdkbihmopkbjmoonfanlbfcl|BraveWallet
hpglfhgfnhbgpjdenjgmdgoeiappafln|GuardaWallet
blnieiiffboillknjnepogjhkgnoapac|EqualWallet
cjelfplplebdjjenllpjcblmjkfcffne|JaxxxLiberty
fihkakfobkmkjojpchpfgcmhfjnmnfpi|BitAppWallet
kncchdigobghenbbaddojjnnaogfppfj|iWallet
amkmjjmmflddogmhpjloimipbofnfjih|Wombat
fhilaheimglignddkjgofkcbgekhenbh|AtomicWallet
nlbmnnijcnlegkjjpcfjclmcfggfefdm|MewCx
nanjmdknhkinifnkgdcggcfnhdaammmj|GuildWallet
nkddgncdjgjfcddamfgcmfnlhccnimig|SaturnWallet
fnjhmkhhmkbjkkabndcnnogagogbneec|RoninWallet
aiifbnbfobpmeekipheeijimdpnlpgpp|TerraStation
fnnegphlobjdpkhecapkijjdkgcjhkib|HarmonyWallet
aeachknmefphepccionboohckonoeemg|Coin98Wallet
cgeeodpfagjceefieflmdfphplkenlfk|TonCrystal
pdadjkfkgcafgbceimcpbkalnfnepbnk|KardiaChain
bfnaelmomeimhlpmgjnjophhpkkoljpa|Phantom
fhilaheimglignddkjgofkcbgekhenbh|Oxygen
mgffkfbidihjpoaomajlbgchddlicgpn|PaliWallet
aodkkagnadcbobfpggfnjeongemjbjca|BoltX
kpfopkelmapcoipemfendmdcghnegimn|LiqualityWallet
hmeobnfnfcmdkdcmlblgagmfpfboieaf|XdefiWallet
lpfcbjknijpeeillifnkikgncikgfhdo|NamiWallet
dngmlblcodfobpdpecaadgfbcggfjfnm|MaiarDeFiWallet
bhghoamapcdpbohphigoooaddinpkbai|Authenticator
ookjlbkiijinhpmnjffcofjonbfbgaoc|TempleWallet
到此该面试题样本基本就分析完毕了，可以判定该样本为RedLine Stealer窃密木马。