本文记录学习Seeker对该样本分析过程
原文地址：https://malwareanalysisspace.blogspot.com/

我们先下载该样本的仓库文件：BOF-BypassUAC-main

解压后我们可以看到该项目结构如下，一般项目很少有人打包整个.vs文件夹，下次看到要警惕中招，其中v14/.suo文件就是我们今天分析的主角

在 Visual Studio 项目中，.suo 文件是 Solution User Options 文件的缩写，主要用于存储解决方案相关的用户特定设置。这些设置通常与代码编辑器布局、调试配置和其他个性化信息相关，属于每个用户的本地化环境配置，而不是共享给其他开发者的内容，该文件是一个二进制格式文件

OLE Compound File文件格式我们可以直接以7zip压缩包的形式解压查看

其中vstoolboxservice就是攻击者放置的自定义工具箱相关的payload

提取其中base64字符串，我们解码查看

获取该xml里面的base64编码的值

解码后结果是很明显的pe头

我们保存解码内容为文件后继续分析,发现是.net 写的pe文件

查看反编译出来的代码，又是一层base64写文件的操作

解出第一个exe文件

是一个带签名的白文件，典型的白加黑利用的手法

重点分析黑文件TTDReplay.dll

导出函数

编译时间: 2024-10-8

重点看CreateReplayEngineWithHandshake这个导出函数，在此函数上下断运行

我们简单的快速获取改后门程序的回传地址和相关内容即可,我们直接在tcp连接出下断点，在堆栈里就能发现一些有价值的线索

猜测每个上线机器添加一个页面

在回传内容到新建的页面中

简单的一个分析就结束