钓鱼邮件

image-20250108104959509

给了一个.eml文件,outlook打开,有一个生日快乐.zip,解压需要密码,根据发件日期,24岁等信息,可以猜测出解压密码即为生日20001111

image-20250108105825686

解压后得到生日快乐.exe,双击运行,wirshark抓包,找到ipport

image-20250108112125065

md5结果

image-20250108105733328

donntyousee

image-20250108111407864

查看函数sub_405559()image-2025010523513

存在花指令

image-20250105235332137

retnop掉image-20250105235413571

动调跑一下,这里一定要在函数sub_405559()里面下断,不然单步会直接跳过该函数,直接跟丢了image-20250106084309582

多次尝试发现这个call是进行输入的地方,这里直接进行输入然后步过image-20250106084149036

这两个call步入image-20250106084612297

第一个call,发现是rc4初始化image-20250106084742808

第二个call是魔改的RC4,最后加了个亦或image-20250106085025637

跟一下加密后的结果,找到存储密文的地址unk_5C6CC0image-20250106085636258

然后去看密文在哪里进行check,这里交叉引用

image-20250106090636357

定位到函数sub_4054FB,这个call步入image-20250106090845227

发现密文image-20250106091036465

秘钥key

这里做了反调试,导致key动态和静态的值不一样

image-20250106090243481

将密文和keydump出来,用工具解密即可image-20250106091124095