吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9637|回复: 10
收起左侧

[PC样本分析] wannacry逆向分析初探(一)

  [复制链接]
hercs 发表于 2018-6-11 18:10
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 hercs 于 2018-6-13 18:24 编辑

一、部分流程初步猜测

主要流程.png
1.从资源加载木马
2.通过命令行开启两进程
3.获取文件操作类函数指针保存于全局变量
4.RSA解密获得AES的key
5.通过该KEY利用AES解密木马PE文件
6.内存加载木马
7.执行木马导出函数
目前只是初步分析到了这些功能,其他的后面再写吧,这次先分析内存加载

二、内存加载木马,执行导出函数
图片2.png

保存关键API地址
图片3.png

修复重定位
图片4.png
图片5.png

修复INT
图片6.png
图片7.png

修改段属性
运行TLS
执行dllmain
图片8.png

执行导出函数TaskStart
图片9.png
图片10.png

利用winhex+od将该dll dump出来,再用IDA分析如下

TK1VOHF%18$)2LL$MT78E(Q.png
可以看出开了5个线程,很像ghost里的木马主程序,初步推测为木马的一部分。。。。
图片1.png

免费评分

参与人数 6吾爱币 +11 热心值 +6 收起 理由
siuhoapdou + 1 + 1 谢谢@Thanks!
frankyy + 1 + 1 我很赞同!
Hmily + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
xinkui + 1 + 1 谢谢@Thanks!
二逼159 + 1 + 1 谢谢@Thanks!
审判者压缩 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2018-6-11 18:27
贴图都有问题,请看这个教程https://www.52pojie.cn/misc.php? ... 29&messageid=36
烁源烁 发表于 2018-6-11 19:51
虽然我现在还在默默学习,没有在大神面前发言的权利,但我一定努力,一定向大神们靠拢!
审判者压缩 发表于 2018-6-11 20:54
lyliucn 发表于 2018-6-11 22:38
看到木马都怕呀。
头像被屏蔽
muzb 发表于 2018-6-12 06:44
提示: 作者被禁止或删除 内容自动屏蔽
kingaero 发表于 2018-6-12 16:46
期待h后面的详解
头像被屏蔽
sstm 发表于 2018-6-13 08:37
提示: 作者被禁止或删除 内容自动屏蔽
pikachu888 发表于 2018-6-13 10:16
第4步的RSA解密获得AES的key,是说明之前被加密的文件,都可以解密了吗?
小灰灰来喽 发表于 2018-6-17 17:17
很吊 来看看
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表