wannacry逆向分析初探(一)
本帖最后由 hercs 于 2018-6-13 18:24 编辑一、部分流程初步猜测
1.从资源加载木马
2.通过命令行开启两进程
3.获取文件操作类函数指针保存于全局变量
4.RSA解密获得AES的key
5.通过该KEY利用AES解密木马PE文件
6.内存加载木马
7.执行木马导出函数
目前只是初步分析到了这些功能,其他的后面再写吧,这次先分析内存加载
二、内存加载木马,执行导出函数
保存关键API地址
修复重定位
修复INT
修改段属性
运行TLS
执行dllmain
执行导出函数TaskStart
利用winhex+od将该dll dump出来,再用ida分析如下
可以看出开了5个线程,很像ghost里的木马主程序,初步推测为木马的一部分。。。。 贴图都有问题,请看这个教程https://www.52pojie.cn/misc.php?mod=faq&action=faq&id=29&messageid=36 虽然我现在还在默默学习,没有在大神面前发言的权利,但我一定努力,一定向大神们靠拢! 学习了学习了 看到木马都怕呀。 期待h后面的详解 第4步的RSA解密获得AES的key,是说明之前被加密的文件,都可以解密了吗? 很吊 来看看
页:
[1]
2