一次驱动人生病毒逆向分析的记录

一次驱动人生病毒逆向分析的记录

（收到病毒样本时我是懵逼的

折腾了一天，经过大佬的指点，终于提出了源码

此为样本运行情况：

1、经过经验与尝试，发现可以用py解包

下载pyinstxtractor.py和Easy Python Decompiler v1.3.2

https://sourceforge.net/projects/pyinstallerextractor/

https://github.com/aliansi/Easy-Python-Decompiler-v1.3.2

2、尝试将样本进行解包

语句：python3 pyinstxtractor.py 样本名

提示失败，参考此文章的最后部分：https://blog.****.net/m0_37552052/article/details/88093427

用Editor对样本进行查看，寻找MEI
发现有很多MEI后有很多垃圾数据混淆了，删除MEI+88位后的数据，保存
进行解包，成功

3、对解包后的文件进行查看
寻找没有后缀名的文件进行尝试(https://www.cnblogs.com/pcat/p/8990482.html）

然后放到Editor中查看，增加8字节的pyc头(magic+时间戳)，magic可参考同文件夹下struct的前4字节(03F30D0A)，并将文件后缀改为.pyc
然后使用Easy Python Decompiler v1.3.2，解出一个文件

打开文件，发现部分代码被加密了，参考文章(https://www.cnblogs.com/qiyeboy/p/11524806.html)
重新编辑代码并输出到文件
查看输出的文件，解密成功，搜索http即可找到恶意的域名，如：