ransomware(假的勒索病毒)逆向分析
0x01:PEiD查壳 无壳 运行之后也没中毒 无毒
0x02: 运行一下看看 可用的只有一个输入框和一个按钮(Decrypt)
这里可以通过Restorator进行分析
随意输入123456789 点击Decrypt 弹出对话框
看到关键点
一个是触发的MessageBox (通过下API断点)
一个是关键字符串 Wrong,The password is error
两种方法都可以定位到关键代码 (通过搜索ASCII字符串)
下边采用API断点进行定位
0x03:
先载入Olydbg分析一波
右键任意空白处或者直接(Ctrl + N)
或者在命令栏中输入bp GetDlgItemTextA,bp MessageBoxA
下好断点之后
直接F9运行
随意输入12456789
程序会中断到这里
选中堆栈窗口buffer这一行 右键à数据窗口中跟随
接着 调试à执行到返回(快捷键Ctrl + F9)
这时可以看到数据窗口出现了我们的input 123456789
接着F7 然后F8单步向下分析即可
具体分析结果:1.程序先判断我们的输入是否等于18
2.关键代码就是地址00AE12A3 这个call
OD分析不方便叙述
还是用IDA吧
0x04:
可以直接shift+F12找关键字符串
也可以像下边这样
双击DialogBoxFunc
接着F5
进行分析
所以我们只需byte_404000[]提取出来 与0xCC进行异或就可以得到flag
有一个简单的办法 就是选中所有数据 shift + E 即可
提取出的直接是C代码
最后得到flag{1_dO_n0t_wAnna_cry}
程序+Idb分析+cpp
下载链接: https://pan.baidu.com/s/1Qy_uL1H9LvChcFejAkGmlA 密码: ti5n
ransomware(假的勒索病毒)逆向分析相关推荐
- 2019年7月勒索病毒疫情分析
勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁.360安全大脑针对勒索病毒进行了全方位的监控与防御.从本月数据来看,反勒索服务反馈量有小幅度上升,其中Stop是反馈量上升最大的一个家族. 360解 ...
- 一个感染型的病毒逆向分析
作者:Fly2015 其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为.因为病毒分析报告是给看不懂这些汇编代码人员看的.一份好的 ...
- 2019年4月最新勒索病毒样本分析及数据恢复
1. satan病毒升级变种satan_pro 特征:.satan_pro 后缀 勒索邮箱:satan_pro@mail.ru evopro@protonmail.com 等 2.YYYYBJQOQD ...
- 2019年5月最新勒索病毒样本分析及数据恢复
1.GANDCRAB病毒 病毒版本:GANDCRAB V5.2 中毒特征:<原文件名>.随机字符串 勒索信息:随机字符串-MANUAL.txt 特征示例: readme.txt.pfdjj ...
- 物联网下的防勒索病毒案例分析
近年来,随着物联网技术和互联网技术的日益发展,各种具有智能.自动.联网等智慧系统的研究已在全球范围内广泛开展,以汽车.船舶.电梯.机器人.家电等行业的智能化已经成为全球的大势所趋.未来10-20年各种 ...
- [系统安全] 二十八.WannaCry勒索病毒分析 (4)全网“最“详细的蠕虫传播机制解读
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- [系统安全] 二十九.深信服分享之外部威胁防护和勒索病毒对抗
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- [系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- [系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
最新文章
- web服务器(IIS)的操作步骤
- 试编写一个汇编语言程序,大写---小写 要求对键盘输入的大写字母用小写字母显示出来。
- sqlserver怎么查看索引_Sql Server之旅——第六站 为什么都说状态少的字段不能建索引...
- C++学习笔记(八)——内联函数
- Hibernate面试题分析
- 牛客小白月赛12:月月给华华出题(欧拉函数)
- Javascript性能优化【内联缓存】 V8引擎特性
- CV Code|计算机视觉开源周报20200501期
- python安装robotframework报错_Python3+RIDE+RobotFramework自动化测试框架搭建过程详解
- 有关javabean的说法不正确的是_7、关于JavaBean,下列叙述中不正确的是
- 关于在Eclipse里面启动了服务,但是localhost:8080无法访问的问题:
- 游戏筑基开发之回调函数(C语言)
- 青岛科技大学C语言程序设计,青岛科技大学c语言试题库
- java面向对象面试怎么回答_Java面向对象面试题
- 所有ghost操作系统大全
- php 孙中岳_华杯成绩终于出来了!(学而思、华英)
- Codeforces Round #362 (Div. 2) D 树形dp
- 基于SSM框架社交媒体实现
- 超详细的Linux安装Redis单机版教程
- 巩膜分割论文:ScleraSegNet: an Improved U-Net Model with Attention for Accurate Sclera Segmentation