formbook脱壳记

资讯作者：看雪学院 2022-08-24 23:15:59 阅读：315

本文为看雪论坛优秀文章

看雪论坛作者ID：大河向东流哇

formbook简介

FormBook是一种非常活跃的商业窃密木马，可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。具备一定的对抗检测、对抗分析和反溯源能力。

最近看了个formbook的木马，整理了一下笔记作为学习使用。我将formbook分成两个部分，上半部分是C#部分（可以看作他的壳），下半部分是后门部分。我用2种方法获取到最终的后门，记录一下。

第一种方法

第一层 .exe

反着找，这个样本藏得很深，一眼没找到，就先给invoke下断点，然后从调用invoke的地方反着往回找调用处一层一层往上回溯发现调用关系是InitializeComponent-this.nnn()-this.sss()-Form1.SponsorState()-Form1.smethod_54((Assembly)Form1.RefreshCode(array))[1]-创建对象。

找到了关键位置，创建新对象。

最后发现这个位置并不是真正的调用第二层的地方，作用是load函数加载资源和解密资源。

出来之后继续跟：
在invoke里面可以看到调用的模块的函数。

进入模块内断下来：

第二层：

调用第三层模块的函数

第三层释放的c++

然后dump下来就是后门部分。

第二种方法

第一层

assembly:加载pe的地方
在解密完资源之后直接在内存中用去混淆后的pe进行替换。

InitializeComponent里面会对资源进行解密，然后加载资源，找到被解密的资源：

method_12:

这里涉及到一个知识点，如何在C#中使用内嵌资源文件。（http://t.zoukankan.com/vic_lu-p-2055613.html）

由于这个样本中的资源名是加密的，需要解密后才能看到，所以需要对c#中使用资源的部分很熟悉才能快速找到关键点：

1、常用方法：pictureBox1.Image = Properties.Resources.Correct;2、使用 ResourceManager 类的方法(该样本中使用的就是此种方法)：    1）首先获取一个 ResourceManager 类的实例:        ①ResourceManager resourceManager = newResourceManager("资源名称", Assembly.GetExecutingAssembly());        ②ResourceManager resourceManager = newResourceManager(typeof(About));//此样本所采取的方法        ③ResourceManager resourceManager = Properties.Resources.ResourceManager;    2）通过 ResourceManager 类的 GetObject() 方法:Object target = resourceManager.GetObject("资源文件名");  3、反射法4、资源文件读取类