最近，我收到了要分析的恶意软件可执行文件 - 它是用 C# 编写的，并且用未知工具打包/混淆，所以我从分析它的流量开始分析 - 它发送和接收的内容 - 我发现在 exe 启动后，它下载attackerwebsite.com/main.xml和该文件像 hwid 列表一样查找我，恶意软件应该在其中运行，因为当我在我的电脑上打开它时，它显示我的错误，但是当我的朋友在他的受攻击机器上启动它时，它在后台执行。传输文件的一部分如下所示：

RFx8jwcYx7BRG4THW7VnxNpJngjku4JGQbzeoiKHl0jHjR+Q5eE56U/ahuvvVnGCTMvRlmZXoGhplAKYHWPHpIzCCJygwpQfhJzBDG7R6z8=
qsb2Wt5tVZCp8oL0QhZPQkIgAgh4tZCdQZspAmqZIjU=
M0d+iQi3D2GAdPOQVSGDmMEIgm+3CIr7gsAxkdeMMhDP7SNdGy1LsJH8BEYDyxRMOdfoz/eXWKN/7g8w09Q7gA==
9qHMzL3YxPjH0twK1iu8RWFDqmgYBQyeyEt/h08i8pIb7ZcznKY03JXxp+Es66h/thc1UpsPnKcvboOWhS2ymQ==
QIlTv37HbTvftGLgruLi9dJSZv5yU1JIaArSu8i24kcS6FOPGXOhnXax6gYHKgZt
4x+2Y4l9xILsm28ldTCoGAZB/XuhWO7S0PQfXpEpnTi887J1qA8UAm5FAlXZnB9w+1GlBkVopzQsPdrVe3QI4w==
t2UY+j7lcKoh+nywSDVGVcP0DjBfid2bOUUqgV5sJndGARiSRS5BDg4Nsle2fpT4AAXDs8fMWKR96876u7Dnig==
WVomGVrQ4RyffNLyn8c2lnDBXnizW0A3HYMNSqpN1eUwE/xh4UpMXypmd75kLkPh
lZV56hvraWQSETIrJhMrpD2yBb4tplZswT4ws9Lb5rkUMtoAl6fI7MymLhC794HQmTqlWIbFKnlh0K4rhYXnGQ==
RG+VLzAW8lKdhKdHDbiXeMge2EPOove2tj0Qm59IIm4YSsggX1m1rsNwFY4EL9y1//+OlXUGECZLr3WskKcDkQ==
caaijfTyoXkqPqboAX+TXNs22go6Vir33pa1GxOgpLiQLZRDeSpVJjJ6pJf4igUkkj75cgYzYgV8c4OGXxaJnQ==
P0UtlPzInfxktvzGsdxG1QpFl6q/VkrpRtU/+TiGX5UmhiMLAvz4YtRn785kUJkbnbjm1N2vdA4w2Bu3ew6sLQ==
lP9Jw0gVw8Hd+515tPx09ya3Q5geR202ucS4DI7R1ghFWX89+HT9ASqVv5ynST8BE7rOJJMFHx8BFx2HjLMmdQ==
fnHXjjdAO5I3+FeKtvtwyn2JlF+k4AiynLH5XK0cLy8fsugEHKubmleS4YRA74Gg
x/3gRboIOcqV/a5IOEkts1881jf3huUCDLrkZDSrr2TJ86rG6buwmKrsJMZyUXBg
2uXpW+PXdbskPABxoyvVbuaYuVOgnWKsv/eMs1UBTQo=

我注意到这可能以某种方式进行了 hwid 编码，因为用相等标记填充 - 查看行的长度 - 有 4 个固定的行长度 - 44、64、88和108 - 任何人都可以帮助我识别散列/加密算法？我可以从哪里开始？除非我解压缩它，否则分析可执行文件会很痛苦。