从UTF-16到%MÃja:~XX,1%：BAT木马混淆技术深度剖析<\/h1>

概述<\/h2>
本文详细分析了一种BAT批处理木马的混淆技术，该木马通过精心设计的编码混淆和字符串操作技术来逃避检测。分析过程中涉及了多种编码格式（Unicode字符集、UTF-16编码、UTF-8编码）的特征与区别，以及BAT脚本的特殊语法。<\/p>

乱码现象分析<\/h2>

工具表现差异<\/h3>

Notepad++\/010Editor<\/strong>：显示为乱码<\/li>

Winhex<\/strong>：能正确显示内容<\/li> <\/ul>
乱码原因<\/h3>
BAT文件头部填充了FF FE<\/code>两个字节，这是UTF-16 Little Endian编码的字节序标记(BOM)。但实际上文件内容并非UTF-16编码，导致文本编辑器误判编码格式而显示乱码。<\/p>
字符编码原理<\/h2> Unicode字符集<\/h3> 定义了全球所有字符的唯一编码点<\/li> 为每个字符分配一个数字<\/li> 与具体编码方式(UTF-8、UTF-16等)结合使用<\/li> <\/ul> UTF-16编码<\/h3> 采用2字节为基本单位表示字符<\/li> 两种字节顺序： Little Endian<\/strong>：字节序标记为FF FE<\/code><\/li> Big Endian<\/strong>：字节序标记为FE FF<\/code><\/li> <\/ul> <\/li> <\/ul> UTF-8编码<\/h3> 可变长度编码(1-4字节)<\/li> 可选BOM标记：EF BB BF<\/code><\/li> 字符字节数由首字节高位决定： 0xxxxxxx：1字节<\/li> 110xxxxx：2字节(第二字节以10开头)<\/li> 1110xxxx：3字节(后两字节以10开头)<\/li> 11110xxx：4字节(后三字节以10开头)<\/li> <\/ul> <\/li> <\/ul> BAT木马解混淆技术<\/h2> 混淆原理<\/h3> 使用FF FE<\/code>字符标识伪装成UTF-16编码<\/li> 使用set<\/code>命令设置环境变量，值为混淆字符串<\/li> 使用%VAR:~offset,length%<\/code>语法提取特定字符<\/li> <\/ol> 环境变量操作示例<\/h3> set<\/span> MÃja=8IBOPaM6Yf4S2pGzQTyJ51VvruiHEoeKRZAL3wDsxtjnFg9cdkml@X7UNChqb0W <\/span><\/span>%MÃja:~48,1% # 从第48个字符开始提取1个字符 <\/span><\/span><\/code><\/pre>解混淆步骤<\/h3> 识别所有环境变量定义<\/li> 解析%VAR:~offset,length%<\/code>格式的字符串操作<\/li> 替换为实际字符<\/li> <\/ol> BAT木马功能分析<\/h2> 1. 搜索并打开PDF文件<\/h3> 在Downloads目录搜索.pdf文件<\/li> 找到则用start<\/code>命令打开<\/li> 未找到则输出提示<\/li> <\/ul> 2. 检测杀毒软件<\/h3> 检查AvastUI.exe<\/code>或avgui.exe<\/code>进程<\/li> 根据检测结果选择不同下载地址：有杀毒软件：https:\/\/nl-theatre-saver-impact.trycloudflare.com\/cam.zip<\/code><\/li> 无杀毒软件：https:\/\/nl-theatre-saver-impact.trycloudflare.com\/bab.zip<\/code><\/li> <\/ul> <\/li> <\/ul> 3. 下载并解压ZIP文件<\/h3> 使用PowerShell的Invoke-WebRequest<\/code>下载<\/li> 启用TLS 1.2协议<\/li> 解压到%USERPROFILE%\Downloads\Extracted<\/code><\/li> 失败则退出<\/li> <\/ul> 4. 执行Python脚本<\/h3> 切换到解压目录<\/li> 依次执行多个Python脚本： t2rf-an.py<\/code><\/li> t2rf-as.py<\/code><\/li> t2rf-hv.py<\/code><\/li> t2rf-ve.py<\/code><\/li> t2rf-xw3.py<\/code><\/li> t2rf-xw5.py<\/code><\/li> t2rf-ph.py<\/code><\/li> <\/ul> <\/li> <\/ul> 5. 设置持久化<\/h3> 下载启动项文件： startupppp.bat<\/code><\/li> PWS.vbs<\/code><\/li> PWS1.vbs<\/code><\/li> <\/ul> <\/li> 移动到启动目录实现自启动<\/li> <\/ul> 6. 下载FTSP.zip<\/h3> 从特定URL下载<\/li> 解压并清理痕迹<\/li> 设置目录为隐藏属性<\/li> <\/ul> 防御建议<\/h2> 编码识别<\/strong>：对可疑文件检查实际编码格式<\/li> 环境变量监控<\/strong>：警惕异常的环境变量操作<\/li> 下载行为检测<\/strong>：监控异常URL下载<\/li> 启动项审计<\/strong>：定期检查启动目录<\/li> 进程监控<\/strong>：关注异常Python或脚本执行<\/li> <\/ol> 总结<\/h2> 该BAT木马通过巧妙的编码混淆和字符串操作技术实现了多层混淆，最终下载并执行恶意负载。理解其混淆技术和执行流程有助于更好地检测和防御此类威胁。<\/p>

从UTF-16到%MÃja:~XX,1%：BAT木马混淆技术深度剖析<\/h1>

乱码现象分析<\/h2>

乱码原因<\/h3> BAT文件头部填充了FF FE<\/code>两个字节，这是UTF-16 Little Endian编码的字节序标记(BOM)。但实际上文件内容并非UTF-16编码，导致文本编辑器误判编码格式而显示乱码。<\/p>

BAT木马解混淆技术<\/h2>

BAT木马功能分析<\/h2>

总结<\/h2> 该BAT木马通过巧妙的编码混淆和字符串操作技术实现了多层混淆，最终下载并执行恶意负载。理解其混淆技术和执行流程有助于更好地检测和防御此类威胁。<\/p>

乱码原因<\/h3>
BAT文件头部填充了`FF FE<\/code>两个字节，这是UTF-16 Little Endian编码的字节序标记(BOM)。但实际上文件内容并非UTF-16编码，导致文本编辑器误判编码格式而显示乱码。<\/p>`

总结<\/h2>
该BAT木马通过巧妙的编码混淆和字符串操作技术实现了多层混淆，最终下载并执行恶意负载。理解其混淆技术和执行流程有助于更好地检测和防御此类威胁。<\/p>