继续执行程序，直到在LoadResource处断下

此处单步执行，看资源地址为“0x00447058”

010editor打开D.exe程序，ctrl+shift+A，输入开始地址和大小

选择“edit-copy as-copy as hext text”，拷贝数据

新建一个16进制格式的文件

将上步复制的数据粘贴进去

将文件另存为E.exe

将E.exe用火绒剑打开，检查是可以正常运行的

7.分析E.exe程序功能

将该程序用PEid打开，使用C#编写

使用dnSpy调试E.exe程序，发现被混淆了，而且发现该程序为Nano Client客户端，是一个远控程序，找到对应版本的服务器端，为了便于后续测试。

使用de4dot工具进行反混淆。

dnSpy调试反混淆后的程序 E-cleaned.exe，先删除之前加载的程序

打开E-cleaned.exe

在IP地址和端口设置的函数地方下断点，大家可以对这个程序进行分析

8.根据程序行为修改服务端程序的ip和端口

用火绒剑检测到该程序有个外联191.101.22.13:4110，

修改本机地址为“191.101.22.13”，启动并设置服务器端的NanoCore，设置监听4110端口，发现客户端马上就上线了。修改本机IP

启动服务端，进行端口设置

查看客户端

研究该木马功能

程序大概的运行程序如下

1、该程序通过创建傀儡进程的方法进行了免杀

​

2、傀儡进程dump出来后需要进行修复

​

3、修复后的程序需要手动脱UPX壳

​

4、对脱壳后程序进行分析，发现具有加载资源的操作，该资源数据是PE格式

​

5、将这部分数据拷贝出来分析，发现其为远控木马的客户端，C#编写

​

6、调试该C#程序，先进行反混淆操作，简单分析该程序

​

7、修改本机地址为客户端外联的IP，下载远控木马服务器端，修改监听端口，客户端上线，发现该远控木马具有开关机等常规远控软件功能。

​

希望大家可以有所收货！！！