吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7778|回复: 22
收起左侧

[PC样本分析] 对wannacry关键call的分析 by cqr2287

  [复制链接]
KaQqi 发表于 2017-5-21 09:43
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 cqr2287 于 2017-5-21 09:47 编辑

上回已经分析了基本。现在针对关键call进行一个分析。
对wannacry的简单分析 by cqr2287
http://www.52pojie.cn/thread-609670-1-1.html
(出处: 吾爱破解论坛)

首先下段,断下后单步跟踪。
QQ图片20170521093238.png

QQ图片20170521093238.png
此处采用nop,因为下面是关键,跳过关键肯定不对。
QQ图片20170521093238.png
首先使用sprintf把%08x推入缓冲区,然后用fopen检测是否存在。
QQ图片20170521093238.png
而此时%08x是00000000,故是00000000.dky。
QQ图片20170521093238.png
一样的道理。
QQ图片20170521093238.png
这里改为nop。因为我本地没有这个文件。
上文便是对%08x的分析。下面的内容就跟上一篇文章的第四部分一样了。我就直接写步骤,不解释了。
QQ图片20170521093238.png
此处为jmp


我一会尝试看看能不能写出补丁

免费评分

参与人数 3吾爱币 +3 热心值 +3 收起 理由
黄渤 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lin295693097 + 1 + 1 等着你的消息
cr4ck + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| KaQqi 发表于 2017-5-21 11:33
苏紫方璇 发表于 2017-5-21 10:45
那么问题来了,没有密钥还是无法解密

是的。但是本地加密时就产生了00000000.eky,这个便是加密后的解密密钥
苏紫方璇 发表于 2017-5-21 11:43
cqr2287 发表于 2017-5-21 11:33
是的。但是本地加密时就产生了00000000.eky,这个便是加密后的解密密钥

恩啊,但是还是没有解密密钥23333
a2523188267 发表于 2017-5-21 10:25
厉害。  不让跳了 就不会删东西和复制加密了吗
好心分手 发表于 2017-5-21 10:26
此贴必火  火钳刘明
cr4ck 发表于 2017-5-21 10:33

持续关注!
苏紫方璇 发表于 2017-5-21 10:45
那么问题来了,没有密钥还是无法解密

免费评分

参与人数 1热心值 +1 收起 理由
KaQqi + 1 是呀。。。

查看全部评分

 楼主| KaQqi 发表于 2017-5-21 11:47
苏紫方璇 发表于 2017-5-21 11:43
恩啊,但是还是没有解密密钥23333

所以从00000000.edk到00000000.dky干了什么。。。
头像被屏蔽
heihei1314 发表于 2017-5-21 11:52
提示: 作者被禁止或删除 内容自动屏蔽
heiketian10 发表于 2017-5-21 12:02
从手段上看,还是加密算法比较难破解。privatekey是关键吧。

点评

yes,而且我等小白数学跟不上别提逆向算法了  发表于 2017-5-26 21:16
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:38

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表