简单分析某"勒索病毒?
论坛原帖是这样的https://www.52pojie.cn/thread-1042550-1-1.html是这样个文件
是个DOS文件emmmmmm
字符串伺候
似乎没有发现什么有用的信息,打开以后一闪而过,
拖进x32dbg以后是这样的
这是结尾的图,这里有两个JMP一个CALL,
开始差不多是这样的
注意我红色的框框有些字
往下走这个程序调用系统API获取路径
释放图上框框中的那个sys
我还挺高兴居然是个驱动,拖进IDA后什么都没有,然后我用记事本打开
后来我发现是个路径,于是我发现一件事情
这是改了我注册表吧?继续往下走
上面那个红框框里面还有这个路径,继续往下走,病毒
会做遍历的操作,把自己复制到C://widnows/目录下
设置病毒自己属性
然后遍历所有的文件,因为我虚拟机只有一个C,虽然他遍历到了D,然而是个虚拟光驱,差不多是这样的操作,那么问题来了他为什么需要修改
注册让EXE都从他那边经过呢
然后我发现我的文件大小不太对
可能这张图不太明显
刚刚好病毒文件的大小,那么问题来了他在哪里呢,我打开被感染的文件
对比我开始发的病毒源文件的尾部是不是很相识对没错就是他,套了一层壳,那么他是怎么运行的呢,我继续走下去
发现了有这么一个函数
为什么我那么确定呢
因为EXE还可以改成别的运行,于是我改成了记事本证实了我的想法,那么临时文件夹的路径是干嘛的?继续走
对没错是原来的文件,为什么要保存路径,就是为了骗任务管理器
所以只要把文件复制出来就行了
这个位置会释放文件
最后创建出来
来学习楼主的分析思路 发表回复主要是学习楼主的思想 厉害啊,大佬 分析的头头是道 膜拜大神 {:1_909:}完全看不懂 学习了 不过排版有点emmm 不错,分析的很好 楼主,讲的那么认真,我却一脸懵逼。谢谢。