本文深入分析了WannaCry蠕虫的传播机制,包括蠕虫的背景、传播流程、关键函数解析等。作者通过IDA和OD逆向工程,详细讲解了蠕虫如何利用永恒之蓝漏洞在局域网和公网进行传播,并释放勒索程序tasksche.exe。文章还介绍了蠕虫的初始化操作、局域网与公网传播的实现,以及漏洞检测和通信连接的创建。通过对shellcode和dll的分析,揭示了蠕虫如何通过APC注入进行后门安装和DLL注入。最后,文章总结了蠕虫传播流程,指出WannaCry的快速传播特性及其对网络安全的威胁。
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
前文分享了WannaCry勒索病毒逆向分析,主要通过IDA和OD逆向分析蠕虫传播部分。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
PS:如果想面试病毒分析工程师或逆向分析工程师,WannaCry的传播机理是常考的一个知识点,也希望能帮助到那部分同学。而且其强大的功能作者尽最大努力去叙述,只希望能帮助更多该领域的读者,也希望Github关注点赞一波。感恩同行,不负遇见。
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~
文章目录
- 一.WannaCry背景
- 二.WannaCry传播机制源码详解
-
- 1.WannaCry蠕虫传播流程
- 2.程序入口Start
- 3.域名开关WinMain
- 4.参数判断sub_408090
- 5.蠕虫安装流程sub_407F20
- 6.蠕虫服务传播流程sub_4080000
- 7.蠕虫初始化操作sub_407B90
- 8.局域网传播sub_407720
- 9.公网传播sub_407840
- 10.漏洞检测及创建通信连接sub_407540
- 11.发送SMB数据包sub_4072A0
- 12.获取Payload(dll+shellcode)
- 13.提取shellcode
- 14.shellcode分析之安装后门
- 15.shellcode分析之APC注入
- 16.dll导出及分析
- 17.释放资源tasksche.exe
- 18.勒索行为
- 三.总结
作者的github资源:
- WannaCry:https://github.com/eastmountyxz/WannaCry-Experiment
- 逆向分析:https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
- 网络安全:https://github.com/eastmountyxz/NetworkSecuritySelf-study
从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面太广,但好在自己通过分享100篇“网络安全自学”系列文章,艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们,如果写得不好或不足之处,还请大家海涵!
接下来我将开启新的安全系列,叫“系统安全”,也是免费的100篇文章,作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步,加油~
订阅专栏 解锁全文
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
