读者 Eric 提交了一个恶意 HTML 页面，其中包含带有恶意软件的 BASE64 图像。

让我们来看看。使用我的工具base64dump.py我在 HTML 代码中搜索长 BASE64 字符串：

看起来确实有2张图片。一个 GIF 和一个 SVG 文件。

让我们仔细看看：

GIF 文件具有非常高的熵，并且没有长字符串。而 SVG 文件包含 BASE64 数字的字节序列，长度为 596938 字节。

所以很可能在 SVG 文件中隐藏了一些东西。

让我们尝试第二级 base64 解码：

PK：那可能是一个 ZIP 文件。让我们试试zipdump.py：

它确实是一个 ZIP 文件，但它受密码保护。让我们 grep 获取 HTML 文件中的密码：

看起来 abc333 是密码。我们试试看：

ZIP 文件包含一个 ISO 文件。

让我们看一下isodump.py：

isodump.py 只看到一个文本文件。恶意文档（现在很明显这是恶意的）仅包含一个文本文件，这是非常不可能的。发生了什么，是有一个二级卷描述符，但 isodump 使用的 pathlab 模块无法识别二级卷。

由于我现在希望该 ISO 文件中有一个 Windows 可执行文件，因此我使用pecheck.py来创建 PE 文件：

事实上，我们有一个 32 位的 DLL，原来是QBot。

QBot沙箱检测报告：https://www.virustotal.com/gui/file/8bf00c146ff533fa193c448d5ccdeb0ba5f56764d290b3de0f55f1b40acf810a

7-zip 实用程序可以帮助我们查看 ISO 文件，但它不接受 ISO 文件作为通过标准输入的输入。

所以我首先必须将文件写入磁盘，然后让 7-zip 对其进行分析：

tools - 工具

base64dump.py

https://blog.didierstevens.com/2022/07/19/update-base64dump-py-version-0-0-23/