吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12346|回复: 24
收起左侧

[PC样本分析] 简单分析某"勒索病毒?

  [复制链接]
blmk 发表于 2019-10-27 15:58
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
论坛原帖是这样的https://www.52pojie.cn/thread-1042550-1-1.html
qishi.jpg

是这样个文件
man.jpg

是个DOS文件emmmmmm
字符串伺候
zifuchuang.jpg

似乎没有发现什么有用的信息,打开以后一闪而过,
拖进x32dbg以后是这样的
xiansuo1.jpg

这是结尾的图,这里有两个JMP一个CALL,
开始差不多是这样的
xiansuo2.jpg

注意我红色的框框有些字
往下走这个程序调用系统API获取路径
luj.jpg

释放图上框框中的那个sys
kaishi.jpg

我还挺高兴居然是个驱动,拖进IDA后什么都没有,然后我用记事本打开
syslujing.jpg

后来我发现是个路径,于是我发现一件事情
qubie.jpg

这是改了我注册表吧?继续往下走
kaishi2.jpg

上面那个红框框里面还有这个路径,继续往下走,病毒
ganr.jpg

会做遍历的操作,把自己复制到C://widnows/目录下
shezhi.jpg

设置病毒自己属性
guanr2.png

然后遍历所有的文件,因为我虚拟机只有一个C,虽然他遍历到了D,然而是个虚拟光驱,差不多是这样的操作,那么问题来了他为什么需要修改
注册让EXE都从他那边经过呢
zhuchebiao.jpg

然后我发现我的文件大小不太对
ganr3.jpg

可能这张图不太明显
duibi1.jpg

刚刚好病毒文件的大小,那么问题来了他在哪里呢,我打开被感染的文件
ganrhou.jpg

对比我开始发的病毒源文件的尾部是不是很相识对没错就是他,套了一层壳,那么他是怎么运行的呢,我继续走下去
yunxing.jpg

发现了有这么一个函数
为什么我那么确定呢
baxi.jpg

因为EXE还可以改成别的运行,于是我改成了记事本证实了我的想法,那么临时文件夹的路径是干嘛的?继续走
对没错是原来的文件,为什么要保存路径,就是为了骗任务管理器
xieruyuanlaide wenjian.jpg

所以只要把文件复制出来就行了
bu1.jpg

这个位置会释放文件
bu2.jpg

最后创建出来
bu3.jpg
xieruyuanlaide wenjian.jpg

免费评分

参与人数 14威望 +2 吾爱币 +25 热心值 +14 收起 理由
铁锅大大 + 1 + 1 用心讨论,共获提升!
haorenmo + 1 + 1 用心讨论,共获提升!
willJ + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
fib52pj + 1 + 1 谢谢@Thanks!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Nov3rd + 1 + 1 谢谢@Thanks!
duiniwuyv + 1 + 1 我很赞同!
foubei + 1 + 1 我很赞同!
You牧之 + 1 我很赞同!
guigui328 + 1 + 1 用心讨论,共获提升!
onething + 1 + 1 热心回复!
durongze + 1 + 1 谢谢@Thanks!
gaosld + 1 + 1 用心讨论,共获提升!
lin3801358 + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

qcrhuang 发表于 2019-10-27 16:22
来学习楼主的分析思路
wangsong0518 发表于 2019-10-27 16:29
墨风人 发表于 2019-10-27 16:40
1sina 发表于 2019-10-27 19:21
分析的头头是道
℡小疯、 发表于 2019-10-27 20:26
膜拜大神
Alan丶L 发表于 2019-10-27 20:38
完全看不懂
chermy 发表于 2019-10-27 20:56
学习了 不过排版有点emmm
andy1ee11o2 发表于 2019-10-27 21:18
不错,分析的很好
durongze 发表于 2019-10-27 21:54
楼主,讲的那么认真,我却一脸懵逼。谢谢。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表