接上：

他们想搞我，却被我溯源了（始）

一谷米粒，公众号：暗影安全他们想搞我，却被我溯源了（始）

动态调试

使用x32dbg对CnjD7msgz.exe进行动态调试。

在CreateFile处下断点，发现CnjD7msgz.exe创建了一个“_TUProj.dat”文件，在内存中提取字符串，可

以找到“CnjD7msgz.dat”压缩包密码。

对CnjD7msgz.dat压缩包进行提取，可以得到下面几个文件。使用二进制工具查看后发现只有“_TUProj.dat”文件是有用的。

“_TUProj.dat”内容如下所示g_table_char处是shellcode，下面使用win api执行。

使用在线工具对shellcode进行转换

使用ida对shellcode进行分析。这个shellcode主要做了2个操作：

1、通过PEB获取一些函数地址

2、读取“edge.xml”到内存执行

使用二进制查看工具查看“edge.xml”

从下面的特征可以看出这个文件是一个PE文件。

对文件二进制格式进行修改后继续使用IDA进行分析创建计划任务作为启动项。

在计划任务中也可以看到

读取“edge.jpg”文件，然后对jpg文件内的特殊数据进行解密。

解密函数如下所示：

由此可以知道函数要从jpg中读取数据的起始位置；之后使用0x45进行异或解密。

知道逻辑后对“edge.jpg”文件的特殊数据进行解密。

发现图片中包含了PE文件。对文件继续提取进行分析。对360杀软做特殊处理。

远程IP地址明晃晃的出现在我眼前

至此溯源结束，截止发稿，该服务器已无法正常访问。