Пришло время углубиться в детали и понять, почему вредоносное ПО отказалось запускаться в виртуальном окружении.
Переносим файл в Detect It Easy (DIE) и видим следующую картину:
.NET файл, защищённый протектором ConfuserEX версии 1.x
Давайте откроем файл в dnSpy — возможно, там мне удастся найти больше информации.
Видим название продукта: RuntimeDecryptor
Конкретная версия протектора: Confuser.Core 1.6.0+447341964f
Теперь у нас хотя бы есть понимание, как взаимодействовать с протектором.
Первым делом установим Breakpoint на 14-й строке <Module>.cctor и запустим программу.
Затем откроем вкладку "Модули" и откроем модуль Example.exe из памяти.
Перейдём в <Module>.cctor и в IL-инструкциях изменим инструкцию первого модуля с CALL на NOP. Это позволит нам снять Anti-Tamper защиту.
Отмечаем все возможные галочки в MD Writer Options.
Сохраняем наш файл как Example-cleaned.exe.
Отлично! Анти-тампер защита снята, и теперь я могу свободно исследовать файл, ставить точки останова и анализировать локальные переменные. Это позволит нам понять, по каким векторам вредоносное ПО обнаруживает мою виртуальную машину.
