吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.40881110.com

 ?#19968;?#23494;码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 16127|回复: 185
上一主题 下一主题

[PC样本分析] 对WannaCry的深度分析

    [复制链接]
跳转到指定楼层
楼主
鬼手56 发表于 2019-2-21 16:42 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 鬼手56 于 2019-4-27 14:25 编辑

最近准备面试病毒分析岗,听大佬们说有的面试官会问是否分析过WannaCry,所以就准备分析分析永恒之蓝,一来方便自己面试,二来还能给自己刷经验。萌新第一次分析病毒,分析的不好各位大佬多多见谅啊~

样本概况

文件: C:\vir\wcry2.0\wcry2.0\wcry.exe
大小: 3514368 bytes
文件版本:6.1.7601.17514 (win7sp1_rtm.101119-1850)
修改时间: 2017年5月13日, 2:21:23
MD5: 84C82835A5D21BBCF75A61706D8AB549
SHA1: 5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467
CRC32: 4022FCAA

查壳

首先使用PEID和ExeInfo工具对样本进行查壳 以下是查壳结果

结论:病毒使用VC6编写的  无壳

基础分析

基础静态分析

查看?#22336;?#20018;

首先在IDA中查看程序的?#22336;?#20018;信息 看看能否得出某些信息

在IDA中看到?#22336;?#20018;中含有RSA和AES 应该是和病毒?#29992;?#26041;式相关 但具体的还需要再进一步确认

紧接着看到了这么一串?#22336;?#20018; 关于cmd命令 大概是在引用某些?#38382;?


?#22336;?#20018;的部分就只有这么多信息

使用PEiD识别?#29992;?#31639;法

?#28909;蛔址?#20018;中识别到了用于?#29992;?#30340;标准库函数 那么在这里我使用PEID的Kyrpto ANALyzer插件扫描病毒程序  来识别?#29992;?#31639;法 扫描结果如图所示

由上图可知 病毒使用了CRC32和AES?#29992;?#31639;法 其中CryptDecryptCryptDecrypt是微软提供的用于一个用于?#29992;?#30340;类库 而ZIP2和ZLIB是压缩算法

查看导入表


Kernel32的导入函数里发现了 LoadResource  LockResourse FindResourceA 等函数 说明?#35797;?#27573;里可能会大有文章 此处需要留意

接着 在ADVAPI32.dll里发现了注册表相关的操作  说明病毒对注册表进行了操作

查看?#35797;?#27573;

接着查看病毒的?#35797;?#27573;

最重要的就是这个?#35797;?#21517;为XIA的自定义?#35797;?#20102; 由于?#35797;?#22836;是PK 所以猜测这应该是个ZIP压缩文件  接下来直接将?#35797;?#25552;取

可以看到 上图就是提取出来的?#35797;?这个就是病毒释放到桌面的一些文件了 但是具体是什么 需要进一步分析

基础动态分析

查看进程树

首先使用ProcessMonitor查看一下进程树

由上图可以得知 病毒创建了四个子进程  其中还使用了cmd.exe执行一个批处理脚本文件

注册表监控

关于注册表 这里我使用regshot对运行病毒前后做一个快照进行比对 直接查看结果

关于注册表的修改操作并不多 在HKLM\SOFTWARE新增加了一个键 并且?#35757;?#21069;病毒的路径添?#30001;先?并?#19968;?#28155;加了另外两个值

文件监控

接下来是文件的监控

图一: 病毒在系统的每一个目录下释放了@[email protected] @[email protected]的文件 这里应该是在感染文件了  

图二:在桌面目录下创建了一个.bat的批处理脚本 然而?#20197;?#26700;面?#20808;?#27809;有看到这个脚本 应该是执行完之后被删除了  

?#26082;?#30149;毒在系统盘和桌面释放了几个PE文件并启动执行 这里应该是在释放隐藏在?#35797;?#20013;的文件

网络监控

从网络监控可以看到 病毒一直在监听两个端口 并尝试连接局域网内的一些ip 企图向局域网扩散

至此 基础的动态分析也就结束了

使用IDA和OD进行详细分析

下面我们来对WannaCry的每一个函数进行逐个解析 以便搞清楚病毒所有的行为

对wcry.exe病毒主程序的分析

主体逻辑

以上是WannaCry的主体逻辑 但是这个并不是WannaCry的全部代码 只是一个傀儡exe而已 其中百分之九十的代码都是病毒的准备工作 下面将对所有的函数进行逐一分析

首先 我将其主体分为两个部分 第一部分 初始化操作  第二部分 加载病毒核心操作

第一部分 初始化操作

首先来分析第一部分 也就是病毒的初始化操作 代码逻辑如下

GetRandom 获取随机数

首先来分析一下第一个未被IDA签名库识别的函数 我将他命令为GetRandom  函数主体如下


病毒首先获取到计算机名 然后计算出计算机名的ASCII乘积 将这个乘积作为随机数种子 调用两次rand函数 最后获取到一个字母+数字的随机?#22336;?#20018;

SetReg 设置注册表项

接下来程序对命令行?#38382;?#20570;了一个判断 然后切换当前进程的路?#27573;?#24037;作目录 之后来到第二个未被IDA识别的函数  函数主体逻辑如下

病毒创建了一个注册表项 然后将当前的exe所在的绝对路径设置到到注册表的\HKEY_LOCAL_MACHINE\SOFTWARE下   但是在我的机器上设置失败了 因为这个注册表键的设置需要有管理员权限才能成功

ReleaseFiles  释放?#35797;次?#20214;

这个函数首先将?#35797;?#20013;隐藏的压缩包进行解压 解压密码是WNcryhome.php?mod=space&uid=605020 然后释放压缩包中的所有文件到当前进程的路?#26029;?/p>

释放完之后的桌面路?#24230;?#19979;图所示

其中msg文件夹下的是病毒用到的语言包 至于剩下的文件?#22771;?#36824;不得而知

WriteCwnry   写入c.wnry

接下来分析WriteCwnry这个函数 函数主体如下

这个函数获取到了三个比特币账户 然后随机将其中的某一个写入到c.wnry文件中   所以c.wnry这个文件应该是跟勒索相关的

第一个ExeCmdCommand创建了一个进程 进程的?#38382;?#26159;attrib +h . 这个?#38382;?#30340;含义是将当前路?#26029;?#30340;所有文件设置为隐藏 但是这其实是个错误的命令 正确的命令是attrib +h 没有后面的那个点  所以这个函数也就没有起到作用

第二个`ExeCmdCommand直接看命令行?#38382;?nbsp; 'icacls . /grant Everyone:F /T /C /Q' 这条命令是给当前的windows系?#31243;?#21152;了一个叫Everyone的用户 并给这个用户所有的权限

至此 第一个部分分析完成

第二部分 加载病毒核心操作

接下来分析第二部分 主体如下所示  这部分的函数所有的操作都只有一个目的 就是为?#35828;?#29992;dll中的导出函数 接下来我们逐个进行分析

GetApis 获取必要的API函数

GetApis的函数主体如下

这个函数的功能很简单 就是在获取各个API函数的地址  ?#28909;?code>CreateFileW  WriteFile 等等 为后面的操作做准备

CDatabase::CDatabase 构造函数

接下来是这个对象的构造函数了

也没有做什么?#23548;?#30340;时候 初始化了两个用于线程同步的临界区对象

ImportKeyAndAllocMem 导入密钥并申请空间

接下来是ImportKeyAndAllocMem

这个函数做了两件事情 1. 导入RSA的私钥 用于后面的解密文件 2. 申请两块大小为0x100000的内存

DecryptFile 解密t.wnry

私钥已经导入完成 那么接下来要做的就是解密了

这个函数一直在对t.wnry这个文件进行读取操作 读取到内存之后传入上个函数拿到的密钥句柄 在内存中进行解密 然后返回解密之后的文件内容 我们可以在OD中查看函数的返回值

这里可以看到解密之后的内容 是一个PE文件 接下来提取出解密之后的文件内容 查看一下PE结构 判断是个dll文件 接下来再跟t.wnry原始文件做一个对比

大小值相差了0.2KB 那么可以判定t.wnry是个隐藏的dll文件

WriteAllocMem  ?#22870;碢E文件到内存

解密完成之后 再看下一个函数WriteAllocMem

这个函数的代码量比较多 但是总结起来 就做了两件事 1. 申请了一块堆空间 2.去掉了解密出的PE文件的DOS头以后 将整个PE文件?#22870;?#21040;了堆空间中

GetExportFunAddr 获取导出函数地址

这个函数传了两个?#38382;?一个是堆空间的首地址 一个是TaskStart这个?#22336;?#20018;  单步步过这个函数 可以看到函数返回了一个地址

并?#20197;?#21518;面调用了这个这个地址 但是我们并不知道地址从何而来 所以还需要跟进去

函数主体如下

这个函数首先取出了数据目录表 然后根据数据目录表找到?#35828;汲?#34920; 接着查看刚刚提取出来的dll的导出表 如下

有一个导出函数TaskStart 这不就是传进去的第二个?#38382;?#21527;?

接着比对dll和调用返回地址的汇编代码 如下

第二部分小结

第二部分分析完成 接下来做一个小结 总体行为如下

  1. 获取必要的API函数地址
  2. 导入私钥并申请空间
  3. 用导入的私钥解密出一个dll
  4. 申请一块堆空间 将dll写入到堆内存里
  5. 在堆内存中找到dll的导出函数地址 并调用

?#30001;?#38754;的分析可以得出病毒的主体程序?#23548;?#19978;只做了一些初始化的操作 到?#22771;?#20026;止并没有看到它感染或?#29992;?#20219;何一个文件 也没有对用户进行勒索 真正的核心代码在t.wnry中   由于这个函数是在堆空间中调用 所以在IDA中并没有显示出伪C代码 那么接下来需要分析刚刚提取出来的dll

对t.wnry.dll(病毒核心部分)的分析

主体逻辑

主体逻辑如下 下面就是病毒的所有操作了 包括?#29992;?#25991;件 勒索用户等所有操作

GetUsersidAndCmp 获取当前用户的SID并与系统的SID作比较

这个函数从注册表中获取到当前用户的SID并与系统的SID做比较 返回比较的结果

CreatePkyAndEky 创建00000000.pky和00000000.eky


这个函数在桌面创建了00000000.pky和00000000.eky 这两个文件  其中00000000.pky是公钥 00000000.eky是?#29992;?#21518;的私钥 我已经将未?#29992;?#26159;私钥提取出来 如下

0018E584  07 02 00 00 00 A4 00 00 52 53 41 32 00 08 00 00  ...?.RSA2...
0018E594  01 00 01 00 73 F6 BE B8 C8 55 17 87 6A F8 0D 55  ..s鼍溉U噅?U
0018E5A4  CF FD 1A F8 1B 4B F4 17 FC 14 F4 D4 EE 25 DD C0  淆?K??粼?堇
0018E5B4  CD 0F A3 BB 63 32 AE 1D E3 47 34 2B CB D8 C5 FD  ?;c2?鉍4+素琵
0018E5C4  90 69 2F C1 F3 0B BD 91 CB E1 96 26 03 52 E3 9C  恑/馏綉酸?R銣
0018E5D4  D2 F0 89 1A 36 66 87 FC 75 09 63 05 75 44 37 AF  茵?6f圏u.cuD7?
0018E5E4  E0 44 85 87 10 CF 0A 5B 89 4C 91 45 90 69 7F F8  郉厙?[塋慐恑?
0018E5F4  31 58 35 31 2B 0C 8B D8 C6 85 16 C2 8D C4 C1 EF  1X51+.嬝茀聧牧?
0018E604  EF 10 10 1D ED AA 53 E6 79 65 83 2D 36 4B C8 68  ?愍S鎦e?6K萮
0018E614  DD AD 99 02 2D 18 87 BE CB 08 F9 23 A4 27 6E DA  莪?-嚲???n?
0018E624  BA C1 E9 14 55 FF 61 E8 41 54 08 07 AD F5 8F C8  毫?U?a鐰T徣
0018E634  FB 83 5D 87 5D 09 67 71 B2 9F 7B A5 C3 5C 23 2F  麅]嘳.gq矡{ッ\#/
0018E644  1A E0 8C 6C 26 B1 99 39 6E 68 9F 20 1D FF DE 5C  鄬l&睓9nh???

0018E654  05 79 A5 72 72 32 4C CE BF 90 F5 F8 00 E4 8C E3  yr2L慰愼?鋵?
0018E664  F2 AE 33 FB 03 A4 DA 1C 5C EC D3 3E C7 12 FE B3  虍3?ぺ\煊>?
0018E674  6E A6 2A 9A 5C 00 00 00 00 00 00 00 00 00 00 00  n??...........

接下来的 五个线程回调函数就是整个程序的重点了

CreateResFile 第一个线程回调函数 创建00000000.res文件

这个函数在工作路径创建了00000000.res这个文件 并且往里写入数据

写入的内容如下 其中有0x8个?#32440;?#30340;随机数 还有0x4个?#32440;?#30340;当前时间  

CheckDky 第二个线程函数 检测文件是否存在

这个函数的作用是每个五秒检测工作路?#26029;?#26159;否存在774F34B5.dky这个文件 文件名应该是个随机数 不是固定的 如果存在的话会执行sub_10003D10这个函数 由于我的桌面上一直都没有存在 所以这个函数我也就没有去分析

EncryptAllFiles 第三个线程函数 ?#29992;?#25152;有文件(重点)

这个函数是整个病毒程序最核心的函数 代码量最多 里里外外总共嵌套了十几层函数  我感觉?#26085;?#20010;熊猫烧香的代码还要多  下面是这个函数的第一层

核心?#29992;?#20989;数第一层

循环检测是否有新的?#25490;?#21152;入 如果有 则?#29992;?没有就一直循环  

#### 核心?#29992;?#20989;数第二层

接下来进入到核心函数第二层

第二层有三个比?#29616;?#35201;的函数 每个都有各自的作用 我们重点解析第二个?#29992;?#20989;数

MovFileToTemp 移动文件到临时目录下并重命名为.WNCRTY

这个函数单?#26469;?#24314;了一个线程 将一部分文本文件移动到临时目录下 并进行重命名

下面是这个函数循?#26041;?#26463;后我的临时文件夹下的文件 这些文件并没有?#29992;?是可以直接通过修改后缀名恢复

FillDisk  在回收站创建一个文件 并且循环写入数据直到?#25490;?#31354;间不足

这个函数就比较有意思了  它会在在$RECYCLE下创建一个名为hibsys.WNCRYT的文件  并设置属性为隐藏 然后循环往这个文件写入数据 直到?#25490;?#31354;间不足跳出循环

当这个函数结束的时候 这个文件居然有39个G

EncryptFile ?#29992;艽排?#19978;的所有文件

这个函数对?#25490;?#21644;路径做了一个判断 然后又调用了另外一个函数 我们需要再次进入到这个函数

核心?#29992;?#20989;数第三层

进到第三层之后又有一个函数 这个函数会遍历并且?#29992;?#25152;有的文件 而且是递归调用的 然后我们再次进入这个函数

核心?#29992;?#20989;数第四层

这个函数首先遍历所有的文件 对文件夹和文件执行不同的操作 并且对后缀名进行过滤

首先跳过 @[email protected],@[email protected], @[email protected]

具体类型如下

0 没有后缀以及其他类型后缀

1 .exe, .dll

4 .WNCRYT

5 .WNCYR

6 .WNCRY

2.

“.doc”".docx”".xls”".xlsx”".ppt”".pptx”".pst”".ost”".msg”".eml”".vsd”".vsdx”

“.txt”".csv”".rtf”".123″”.wks”".wk1″”.pdf”".dwg”".onetoc2″”.snt”".jpeg”".jpg”

3.

“.docb”".docm”".dot”".dotm”".dotx”".xlsm”".xlsb”".xlw”".xlt”".xlm”".xlc”".xltx”".xltm”".pptm”".pot”".pps”".ppsm”".ppsx”".ppam”".potx”".potm”

“.edb”".hwp”".602″”.sxi”".sti”".sldx”".sldm”".sldm”".vdi”".vmdk”".vmx”".gpg”".aes”".ARC”".PAQ”".bz2″”.tbk”".bak”".tar”".tgz”".gz”".7z”".rar”

“.zip”".backup”".iso”".vcd”".bmp”".png”".gif”".raw”".cgm”".tif”".tiff”".nef”".psd”".ai”".svg”".djvu”".m4u”".m3u”".mid”".wma”".flv”".3g2″”.mkv”

“.3gp”".mp4″”.mov”".avi”".asf”".mpeg”".vob”".mpg”".wmv”".fla”".swf”".wav”".mp3″”.sh”".class”".jar”".java”".rb”".asp”".php”".jsp”".brd”".sch”

“.dch”".dip”".pl”".vb”".vbs”".ps1″”.bat”".cmd”".js”".asm”".h”".pas”".cpp”".c”".cs”".suo”".sln”".ldf”".mdf”".ibd”".myi”".myd”".frm”".odb”".dbf”

“.db”".mdb”".accdb”".sql”".sqlitedb”".sqlite3″”.asc”".lay6″”.lay”".mml”".sxm”".otg”".odg”".uop”".std”".sxd”".otp”".odp”".wb2″”.slk”".dif”".stc”

“.sxc”".ots”".ods”".3dm”".max”".3ds”".uot”".stw”".sxw”".ott”".odt”".pem”".p12″”.csr”".crt”".key”".pfx”".der”

总结为下面的?#27602;?/p>

enum FILE_TYPE
{
    FILE_TYPE_NULL = 0,

    FILE_TYPE_EXEDLL,

    FILE_TYPE_DOC,

    FILE_TYPE_DOCEX,

    FILE_TYPE_WNCRYT, //.wncryt

    FILE_TYPE_WNCYR, //.wncyr

    FILE_TYPE_WNCRY //.wncry
}

核心?#29992;?#20989;数第五层

这个函数首先会调用sub_10002E70这个函数 根据这个函数返回值的不同 执行不同的?#29992;?#31574;略 对?#29992;?#31574;略做一个总结

  1. 在?#27602;?#25991;件中,cmd=1,会对普通文件直接?#29992;?#20026;.WNCRY,不再加入链表,大文件处理为.WNCYR,以及其他未作处理文件继续加入链表等待处理
  2. ?#27602;?#23436;成后,cmd从2-4,每个cmd遍历?#24613;?#21382;?#29992;?#25991;件 cmd=2,?#29992;蹻ILE_TYPE_DOCEX普通文件为.WNCRY(移出链表),以及FILE_TYPE_DOCEX大文件为.WNCYR  cmd=2, 删除.WNCRYT
  3. cmd=3, ?#29992;?#38142;表中所有文件(移出链表)
  4. cmd=4, ?#29992;?#21487;能剩余链表中的文件

    虽然操作不同 但是?#29992;?#20989;数是同一个 接下来再次进入EncryptFiles

核心?#29992;?#20989;数第六层

这个?#29992;?#20989;数首先做了一些准备工作 获取文件的后缀名 然后跟.WNCRY做判断 如果比较成功 则不?#29992;?接着做了一个?#22336;?#20018;拼接 然后才开始?#29992;?#25991;件 那么我们还要再往里跟一层

核心?#29992;?#20989;数第七层

接下来是这个程序的核心的?#29992;?#31639;法了 他?#29992;?#30340;步骤如下

  1. 读取文件前0x8个?#32440;?#30340;内容 跟WANACRY!作比较

  1. 使用原文件名+.WNCRYT 创建一个新文件 创建的时候这个文件并没有任何内容

  1. 对创建的文件写入数据

  1. 读取原文件 将?#29992;?#21518;的文件内容写入到创建的文件


至此 病毒的?#29992;?#20989;数就分析完成

StartTaskdl 第四个线程回调函数 以隐藏的方式启动taskdl.exe

这个函数每隔三秒以隐藏的方式启动taskdl.exe 那么接下来还需要对taskdl.exe进行分析

StartExeAndSetReg 第五个线程回调函数 启动taskse.exe和@[email protected]并且修改注册表

这个函数每隔三秒会启动工作路径的taskse.exe和@[email protected]并且使用cmd设置注册表启动项

启动taskse.exe

这个函数以命令行的方式启动taskse.exe  ?#38382;?#20026;为C:\Users\GuiShou\Desktop\@[email protected] 这个?#38382;?#38656;要暂时记住 待会分析taskse.exe的时候需要用到

并且以命令行的方式?#20801;?#21551;动@[email protected] 这个是病毒的解密器

设置注册表启动项

函数将获取到的随机的字母+数字设置到注册表启动项  但是在我的机器上是设置失败的 因为命令?#20040;?#20102; 正确的命令应该是这个

RepeatOperation 一些重复操作

这个是整个病毒程序最后一个函数了

这个函数有三个函数比?#29616;?#35201;

1. RunBat 创建并启动批处理脚本

这个函数会检测@[email protected]是否存在  如果不存在 就创建一个批处理脚本 并且将命令写入到.bat脚本 这个脚本的作用仅仅的给@[email protected]创建一个快捷方式

2.CreateReadMe 创建@[email protected]

这个函数首先检测工作路?#26029;?#30340;@[email protected]是否存在 如果不存在 就从r.wrny中读取内容 并写入到@[email protected] 这个是病毒的勒索文档

3.EncryptOtherUsersFiles ?#29992;?#20854;他所有用户的文件

这个函数的作用是获取windows所有的用户名 并检测是否和当前的用户名一致 如果不一致 就?#29992;?#37027;个用户的所有文件 用的还是刚刚我们分析过的?#29992;?#20989;数

剩下的就都是一些重复操作了  至此病毒的核心程序就分析完成

对taskdl.exe的分析

接下来我们来对病毒程序释放的taskdl.exe做一个详细的分析 taskdl.exe的主函数如下

那?#21019;由?#38754;可以看到这个exe的代码量比起其他两个来说可以说是简单的多的多的多了 其中最核心的函数只有一个 就是上面的DeleteFile这个函数  接下来进入到这个函数进行详细分析

DeleteFile 删除回收站和临时目录下的.WNCRY文件

GetRecyclePathOrTempPath

首先是GetRecyclePathOrTempPath这个函数 这个函数在病毒的主程序里面也有 它会返回两个路径 一个是回收站路径 也就是D:\$RECYCLE 第二个是系统盘的临时文件夹的路径 C:\Users\GuiShou\AppData\Local\Temp

接着这个函数会循环两次 然后对这两个文件夹做处理 由于我的虚拟机环境只有一个C盘和D盘 所以?#20063;?#19981;知道如果多一个盘会出现什么情况

遍历文件

接着函数会调用FindFirstFileW这个函数查找目标文件夹中所有.WNCRYT 结尾的文件  第一次循环我这里失败直接返回  因为我的回收站并没有.WNCRYT 结尾的文件 但是我们要分析另外一条分支 所以?#20197;?#20020;时文件夹下创建了这么几个文件来方便调试

如果FindFirstFileW调用成功 就会走下面的分支

首?#26085;?#20010;它会遍历所有的.WNCRY文件 并且将文件的完整路径和长度存储到一个容器中 如下图

删除文件

当文件遍历结束 会调用DeleteFileW删除所有的.WNCRY后缀的文件

收尾 释放内存

接着 这个函数的功能就算是完成了

函数末尾循?#26041;?#23384;放文件的完整路径和长度的容器清空 然后释放内存

至此 taskdl.exe这个文件就分析完成 主要的作用就是删除回收站和临时目录下的.WNCRY文件

对taskse.exe的分析

接下来对病毒释放的taskse做一个分析 主体逻辑如下

在主函数对命令行?#38382;?#20570;了一个判断 如果小于2直接退出 由于我们已经在主程序中得知了这个程序启动的附加?#38382;?所以直接载入OD 填入附加?#38382;?#35843;试进程 接下来进入到主函数


这个函数首先获取了一些必要的API函数地址

然后提升当前权限

接着获取用户的访问令牌 并创建一个新的访问令牌


接着再次提升权限
函数结束 所以得出结论 这个taskse.exe是提权相关的程序

对wcry释放文件的总结

整个分析完成 接下来对病毒释放的文件做一个总结

  • msg 病毒的语言包
  • c.wnry 存储了比特币账户 一个下载链接 跟勒索相关
  • t.wnry 隐藏了一个dll文件 dll的导出函数是病毒的核心代码
  • u.wnry 解密器
  • r.wrny 勒索文档
  • @[email protected] 解密器
  • taskse.exe 提权部分
  • taskdl.exe删除临时文件和回收站的.WNCRY文件
  • 00000000.pky 公钥
  • 00000000.eky 被?#29992;?#30340;私钥
  • 00000000.res 八个?#32440;?#30340;随机数和当前时间
  • .bat为解密器创建快捷方式

对wannacry总体行为的总结

解决方案

  1. 打补丁  由于此次勒索病毒大?#27573;?#20256;播是由于很多机器没有打补丁,被攻击之后导致中毒 没有中毒的机器,尽快打补丁可以避免中毒
  2. 关闭端口 由于此漏洞需要利用445端口传播,关闭端口 漏洞就无法利用
  3. 创建互斥体  由于?#29992;?#22120;,启动之后会检测是否已经有?#29992;?#22120;程序存在,防止互相之间干扰,所以会创建互斥体MsWinZonesCacheCounterMutexA。只要检测到互斥体存在就会关闭程序。安全软件可以利用这一点 让病毒运行之后自动退出,无法?#29992;?#25991;件

需要相关的样本或者idb文件可以到我的Github上下载
https://github.com/TonyChen56/Virus-Analysis

1556291548917.png (100.53 KB, 下载?#38382;? 0)

1556291548917.png

相关文件下载.txt

118 Bytes, 下载?#38382;? 98, 下载积分: 吾爱币 -1 CB

样本和idb相关文件

免费评分

参与人数 109吾爱币 +108 热心值 +99 收起 理由
james_wdn + 1 + 1 用心讨论,?#19981;?#25552;升!
0jue + 1 谢谢@Thanks!
七弦QAQ + 1 用心讨论,?#19981;?#25552;升!
andxx + 1 + 1 谢谢@Thanks!
ZGSY + 1 我很赞同!
tan90° + 1 + 1 谢谢@Thanks!
reeye + 1 + 1 用心讨论,?#19981;?#25552;升!
Starmon + 1 + 1 用心讨论,?#19981;?#25552;升!
zamliage + 1 + 1 果然是强!
墨?#30340;?/a> + 1 + 1 用心讨论,?#19981;?#25552;升!
huaji23333333 + 1 我很赞同!
静叶流云 + 1 + 1 用心讨论,?#19981;?#25552;升!
VVhAt + 1 用心讨论,?#19981;?#25552;升!
xiong_online + 1 + 1 用心讨论,?#19981;?#25552;升!
RangerE + 1 谢谢@Thanks!
caozhe01 + 1 + 1 谢谢@Thanks!
theape + 1 + 1 鼓励转贴优秀软件安全工具和文档!
152a + 1 + 1 热心回复!
liphily + 2 + 1 不用面试了,我们百度决定直接聘用你。下周一来?#26412;?#24635;部报道吧
一叶秋枫 + 1 + 1 厉害了
如影随风 + 1 + 1 用心讨论,?#19981;?#25552;升!
siuhoapdou + 1 + 1 谢谢@Thanks!
george550596 + 1 + 1 我很赞同!
jc021227 + 1 + 1 用心讨论,?#19981;?#25552;升!
被遗忘的·时光 + 1 + 1 用心讨论,?#19981;?#25552;升!
htsgg + 1 我很赞同!
呵呵成长 + 1 + 1 谢谢@Thanks!
WA自动机 + 1 用心讨论,?#19981;?#25552;升!
itmaple + 1 + 1 谢谢@Thanks!
zy2012sky + 1 + 1 我很赞同!
smais + 1 + 1 我很赞同!
据守 + 1 + 1 谢谢@Thanks!
Xu_konjac + 1 谢谢@Thanks!
jialanruo + 1 + 1 虽然没看懂!但是你很厉害分析了这么久,头头是道!
微笑的唯一 + 1 + 1 热心回复!
测试?#23567;?/a> + 1 + 1 用心讨论,?#19981;?#25552;升!
千灵紫皇 + 1 + 1 好厉害,强
cenyushang + 1 + 1 ?#34892;?#22823;佬,膜拜
罗大伊 + 1 + 1 看不懂,但是真的很强!
weemy96 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Deteriorator + 1 + 1 用心讨论,?#19981;?#25552;升!
vince991 + 1 + 1 我很赞同!
jblbin2008 + 1 + 1 我很赞同!
purplewall + 1 + 1 我很赞同!
会游泳的狗 + 1 + 1 厉害
Ganlv + 3 + 1 ?#34892;?#21457;布原创作?#32602;?#21566;爱破解论坛因你更精彩!
jnez112358 + 1 + 1 谢谢@Thanks!
youhen233 + 1 + 1 谢谢@Thanks!
PPPerry + 1 + 1 用心讨论,?#19981;?#25552;升!
小天河 + 1 + 1 用心讨论,?#19981;?#25552;升!
Mr.Mlwareson_V + 2 + 1 鼓励转贴优秀软件安全工具和文档!
Sundm + 1 + 1 用心讨论,?#19981;?#25552;升!
梦游枪手 + 1 + 1 热心回复!
ZjyCjy + 2 + 1 真的太强辣
SpongeB0B + 1 + 1 用心讨论,?#19981;?#25552;升!
cnholmes + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
黑木棍 + 1 + 1 荡气回肠!
ddyyy + 1 + 1 用心讨论,?#19981;?#25552;升!
SxAni丶 + 2 + 1 ?#34892;?#21457;布原创作?#32602;?#21566;爱破解论坛因你更精彩!
QGZZ + 1 + 1 用心讨论,?#19981;?#25552;升!
reread + 1 + 1 热心回复!
夏雨微凉 + 2 + 1 热心回复!
蓝天下的阳光 + 1 + 1 谢谢@Thanks!
天空坐满了石头 + 1 + 1 我很赞同!
hutu27 + 1 + 1 用心讨论,?#19981;?#25552;升!
记忆碎片 + 1 + 1 谢谢@Thanks!
poisonbcat + 1 + 1 谢谢@Thanks!
Ning + 1 + 1 我很赞同!
ievjai + 1 用心讨论,?#19981;?#25552;升!
scorpiolxd + 1 + 1 我很赞同!
Microsoft6 + 1 + 1 热心回复!
lsx3794 + 1 + 1 用心讨论,?#19981;?#25552;升!
lixingcong + 1 + 1 用心讨论,?#19981;?#25552;升!
soyiC + 1 + 1 ?#34892;?#21457;布原创作?#32602;?#21566;爱破解论坛因你更精彩!
生姜包子 + 1 + 1 用心讨论,?#19981;?#25552;升!
lx1995 + 1 鼓励转贴优秀软件安全工具和文档!
winddream + 1 + 1 ?#34892;?#21457;布原创作?#32602;?#21566;爱破解论坛因你更精彩!
王猎头 + 1 + 1 谢谢@Thanks!
whlqaz + 1 + 1 用心讨论,?#19981;?#25552;升!
you920928 + 1 + 1 谢谢@Thanks!
碉堡的小嗵 + 1 我很赞同!
高苗苗 + 1 热心值和膝盖你都拿走吧
wang1929190 + 1 + 1 用心讨论,?#19981;?#25552;升!
黑的思想 + 2 + 1 用心讨论,?#19981;?#25552;升!
yzlovew + 1 + 1 膜拜一下
吾爱安全 + 1 + 1 用心讨论,?#19981;?#25552;升!
boyulin + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
azabual + 1 + 1 用心讨论,?#19981;?#25552;升!
15936309895 + 1 我很赞同!
lcxmap + 1 + 1 谢谢@Thanks!
山郭 + 1 + 1 用心讨论,?#19981;?#25552;升!
请水啸歌 + 1 用心讨论,?#19981;?#25552;升!
琉璃之恋 + 1 + 1 很复杂很详细很厉害
chenjingyes + 1 + 1 很详细 谢谢楼主分享
林寒冰魄 + 1 谢谢@Thanks!
howsk + 1 + 1 ?#34892;?#21457;布原创作?#32602;?#21566;爱破解论坛因你更精彩!
chanchan + 1 + 1 我很赞同!
自强 + 1 + 1 用心讨论,?#19981;?#25552;升!
丨拒绝?#34255;?/a> + 1 + 1 谢谢@Thanks!
Rebellion + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| 鬼手56 发表于 2019-2-22 12:07 <
润夏 发表于 2019-2-22 11:38
请问是看论坛的?#22363;?#23398;么?还是买书?

列一下我的学习路线 希望能帮到你
C/C++——Windows编程(SDK/MFC)——汇编语言——PE文件格式
每一个都可以找一两本经典的代表?#20801;?#31821;来看
大概学完这些可以尝试看一些逆向相关的书籍或?#22363;?然后自己尝试分析Crackme和病毒

免费评分

参与人数 3吾爱币 +3 热心值 +3 收起 理由
IslaCc + 1 + 1 热心回复!
不懂破解 + 1 + 1 热心回复!
Tonwed + 1 + 1 用心讨论,?#19981;?#25552;升!

查看全部评分

推荐
yy_yeying 发表于 2019-2-21 17:33
4#
barlu 发表于 2019-2-21 17:01 来自?#21482;?/span>
5#
myloveperonjj 发表于 2019-2-21 17:02
学习了,写的非常精彩
6#
wwwmirage 发表于 2019-2-21 17:07
写的非常精彩
7#
mryangjj 发表于 2019-2-21 17:11
?#34892;?#20998;享
8#
wjh 发表于 2019-2-21 17:26

这么牛逼还自称萌新 佩服 真大佬
9#
xlwreally 发表于 2019-2-21 17:27
?#34892;?#20998;享
10#
changwei876 发表于 2019-2-21 17:30
厉害,学习了
11#
GalaxyMimi 发表于 2019-2-21 17:42
Markdown代码炸了,莫非是复制的?参考:https://bbs.pediy.com/thread-249520.htm
您需要登?#24049;?#25165;可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-8-25 19:05

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表
球探网篮球指数
天津十一选五基本走势 3d历史开奖号码 湖北11选五遗漏查询 安徽快三走势图彩经网 急速赛车在线观看 浙江飞鱼玩法 注册即送现金真钱游戏 彩票开奖查询排列5列5 甘肃11选5彩票走势图 年香港特码生肖表 广西快三大小单双预测 腾讯分分彩龙虎能玩不? 118白小姐祺袍 十一选五浙江 高频彩最快开奖