对wannacry关键call的分析 by cqr2287
本帖最后由 cqr2287 于 2017-5-21 09:47 编辑上回已经分析了基本。现在针对关键call进行一个分析。
对wannacry的简单分析 by cqr2287
http://www.52pojie.cn/thread-609670-1-1.html
(出处: 吾爱破解论坛)
首先下段,断下后单步跟踪。
此处采用nop,因为下面是关键,跳过关键肯定不对。
首先使用sprintf把%08x推入缓冲区,然后用fopen检测是否存在。
而此时%08x是00000000,故是00000000.dky。
一样的道理。
这里改为nop。因为我本地没有这个文件。
上文便是对%08x的分析。下面的内容就跟上一篇文章的第四部分一样了。我就直接写步骤,不解释了。
此处为jmp
我一会尝试看看能不能写出补丁 苏紫方璇 发表于 2017-5-21 10:45
那么问题来了,没有密钥还是无法解密
是的。但是本地加密时就产生了00000000.eky,这个便是加密后的解密密钥 cqr2287 发表于 2017-5-21 11:33
是的。但是本地加密时就产生了00000000.eky,这个便是加密后的解密密钥
恩啊,但是还是没有解密密钥23333 厉害。不让跳了 就不会删东西和复制加密了吗 此贴必火火钳刘明
持续关注!{:1_921:} 那么问题来了,没有密钥还是无法解密 苏紫方璇 发表于 2017-5-21 11:43
恩啊,但是还是没有解密密钥23333
所以从00000000.edk到00000000.dky干了什么。。。 从手段上看,还是加密算法比较难破解。privatekey是关键吧。