写入的代码段数据如下

文章图片
然后进行手动的导入表填充 ， 导入表经过加密 ， 在进行填充前会先将加密数据复制到空白内存进行解密 ， 然后对解密的数据进行解析以获取需导入的dll名称以及函数 。

文章图片
完成导入表的解密后 ， 会对代码段逐字节与0xC3异或以解密出真正的执行代码

文章图片
完成代码段的解密之后根据PE头中的重定位表信息进行重定位处理 。

文章图片
最后根据PE头中的入口点信息找到入口函数并进行调用 ， 模拟系统载入dll时进行的第一次调用 。 对dll进行手动导入后 ， 再次执行dll的入口函数以执行真正的恶意操作 。
新加载的dll首先将之前分配的用于手动加载dll的Shellcode内存进行释放

文章图片
然后获取本机的各种信息 ， 包括当前代码页标识符、当前进程运行位数、是否为管理员、计算机名、用户名、计算机版本、当前进程名等信息 ， 并将各类信息合并到一起 。

文章图片
再对获取到的信息进行加密操作
获取到本机相关信息后与解密出的C2“adblockext.ru”建立连接

文章图片
然后将之前获取的本机各种信息进行Base64编码 ， 并替换部分字符与固定的URL拼接在一起组成完整的URL并发送GET请求 。

文章图片

文章图片
成功发送请求后进行读取操作

文章图片
成功读取到内容后开始对数据进行处理 ， 命令格式如下所示 ， 命令类型为32位数据 ， 根据类型的不同执行不同的操作 。
如可监听本地特定端口或者连接到指定地址建立通信

文章图片

文章图片
对于文件的增删查改

文章图片

文章图片
获取所有运行的进程信息

文章图片
主要指令如下
指令
含义
0x5
设置指定目录为当前目录
0x9
检查特定进程位数
0x1A
获取当前用户所在域名以及是否为管理员
0x20
获取当前所有进程的信息
0x21
终止进程
0x27
获取当前目录
0x2F
睡眠
0x35
获取特定目录所有文件的文件时间
0x36
创建目录
0x37
获取逻辑驱动器信息
0x38
删除特定目录下的所有文件
0x39
创建文件并写入
0x3B
监听端口并创建线程接受连接
0x3C
创建命名管道并获取当前线程Token
0x3D
获取当前用户名以及所属域名
0x44

• 好莱坞|欧美扎心！俄罗斯播放盗版《阿凡达2》背后：盗版好莱坞大片将合法
• 5G|继续下放！ColorOS13针对多款老机型推送新版本，你的机型在内吗
• 龙芯|无法从西方进口CPU的俄罗斯，试图转投中国的“龙芯”！
• 俄罗斯发出严厉警告，美国Twitter公司如若不守法，将被完全封禁
• 微星|俄罗斯开发者1年拿不到钱！好好的微星AfterBurner被一场战争害死
• CPU|宋文洲：中国拒绝俄罗斯采购中国产CPU
• 索尼在上个月针对 2022款BRAVIA电视推送了 PKG6.|2022款索尼bravia电视迎来摄像头手势控制功能支持
• PATRIOT（博帝、爱国者）针对高端游戏市场创立了VIPER品牌|vipergaming推出ddr5性能内存系列
• 安卓|谷歌向印度国家公司法上诉法庭提起诉讼，挑战CCI针对安卓系统的巨额罚款
• 小米|雷军收到俄罗斯米粉的新年礼物：一个3D打印制作的米兔模型