---

iSpySoft木马样本文件使用 .Net语言编写，对其原始代码使用加密混淆器（ConfuserEx v0.6.0）进行了加密混淆，加大了逆向分析的难度。本文详细的对该木马样本进行了分析，可供相关安全从业人员学习使用。

使用 windbg 尝试进行脱壳，第一步定位解密后加载到内存中的可执行模块，通过调试分析发现程序运行后内存中会加载 stub 模块；

定位查看stub模块信息，发现其为完整PE文件，dump完整PE文件；

查看 stub.exe 代码，发现其代码已经进行了解密，可以清楚的看到程序的代码结构，其代码还存在混淆效果，提取的完整 PE 文件可直接运行，且其行为与原始样本相同；

提取加载资源 UmbGctGTGGWnIGiBIgLVRjpHMdEi.dll；查看提取的该模块信息，该程序的功能代码主要在该模块中定义，包括：反内存 dump，反沙箱，执行命令，下载文件，注入进程，自保护，监控屏幕，启动配置文件等信息；

由于 stub.exe 被进行代码混淆处理，使用 windbg 直接调试 stub.exe 进行混淆代码反混淆处理，通过查看程序运行堆栈信息，可以确程序在是否进行代码还原完毕；

通过上述脱壳反混淆处理后，提取该样本原始程序核心代码，进行代码分析，其代码中主要包含以下几个核心功能类：Technitium.Main、Technitium.Core、Technitium.RunPEx、Technitium.Config、Technitium.Stealer 等，下面是上述类的详细信息；

0x01 功能分析

iSpySoft 木马实现了多种功能，包括：窃取用户信息、浏览器信息(登录用户名密码)、键盘监控、截屏、视频监控、文件下载、文件上传、远程控制等功能。

下面是对其主功能函数的分析， 主函数执行的功能主要依赖于其配置信息， 通过对其配置选项执行相应的功能函数；

iSpySoft 木马主要配置文件：

通过对该木马中的配置文件分析，其主要功能是实现密码窃取(其他功能项未配置)，并且配置实用 EMAIL 方式上传收集到的用户密码信息。

0x02 窃取密码

通过邮件方式窃取收集到的用户密码信息:

从获取的网络数据包看出内容是经过 base64 编码的，将其解码后内容如下：

通过配置文件中的 EMAIL 配置信息，登录攻击者邮箱，其中，存在其已经获取到的用户信息：

0x03 样本跟踪

iSpySoft木马最早被出现于2016年1月27日，发展至今，其木马功能强大，最新版的程序使用 ConfuserEx v0.6.0 加密混淆器对其代码进行了处理。

0x04 行为分析

0x05 攻击目标定位

0x06 系统检测