初步分析

Alt text
火绒剑进程过滤,对样本进行监控。发现存在FILE_chmod文件属性设置行为下面三个路径下文件为设置属性对象。
C:\Program Files (x86)\Microsoft Silverlighte\deep.exe
C:\Program Files (x86)\Microsoft Silverlighte\medge.exe
C:\Program Files (x86)\Microsoft Silverlighte\SmadHook32.dll
Alt text
存在对样本本身进行读写后创建写入并且修改的一个临时文件
C:\Users\Administrator\AppData\Local\Temp~8189867498598202970.tmp
类似的临时文件创建操作后删除的临时文件还有
C:\Users\Administrator\AppData\Local\Temp\1370610961263116089\sg.tmp
C:\Users\Administrator\AppData\Local\Temp\2722168636223513074.tmp

这次任务主要是抓释放的PE程序资源,deep.exe medge.exe SmadHook32.dll样本中其他的反虚拟机手段和虚拟键映射不做赘述。

WIN平台资源释放手段参考:
https://www.cnblogs.com/TJTO/p/13216584.html#:~:text=%E8%B5%84%E6%BA%90%E9%87%8A%E6%94%BE.
资源释放手段WINAPI实现主要使用的是FindResource SizeofResource LoadResource LockResource这四个连续使用的WINAPI。下API断点,直接抓LoadResource资源释放的位置。
Alt text
第一个调用的资源释放API位置
Alt text
第二个调用的资源释放API位置
第三个调用的资源释放API位置