每日一题#10-22 Ransomware

最新推荐文章于 2022-08-14 01:40:07 发布
最新推荐文章于 2022-08-14 01:40:07 发布
阅读量424 收藏 1
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dydxdz/article/details/78313827
版权

Ransomware

0x01 查壳

run.exe拖入exeinfo发现UPX壳
这里写图片描述

0x02 手动脱壳(大家有什么好的脱壳器求分享!)

载入程序
这里写图片描述
F8单步执行,当右侧寄存器窗口中esp寄存器第一次变化时停下(就是下一句了)
右键点击esp,选择数据窗口跟随
这里写图片描述
在左下角数据窗口中,右键点击0019FF64这个地址,选择 断点->硬件访问->Word
这里写图片描述
执行程序(F9),程序将在断点处停下
这里写图片描述
注意最后一个无条件跳转 的地址,从00ecee83直接跳转到004aac9b,大跳转一般情况下意味着OEP的出现,单步执行到实现跳转(中间需要通过F4调过一个循环,不再赘述)
跳转实现后出现了这些代码,判断已经到达OEP
这里写图片描述
(判断是否到达OEP请参考脱壳新手必读——各个OEP位置
右键使用OD插件实现脱壳(右键->OD脱壳调试进程->脱壳)
(ESP定律脱壳的原理实际上是运用了堆栈平衡的理论,具体可参考ESP定律原理

0x03 静态分析

尝试将脱壳后的程序拖入IDA进行静态分析,发现_main函数的地方出现了很多没啥卵用的代码
这里写图片描述
程序使用这种形式的花指令来干扰我们分析,为了使用IDA进行静态分析,必须想办法把这一大段花指令干掉

0x04 去除花指令

参考别人的wp结合自己的做法,去除花指令总结出三种做法
1、手动nop
在OD中把所有的花指令都找出来,手动nop填充(代码量比较大完成这一步需要点时间)
2、OD插件DeJunk
使用OD自带的花指令去除插件Dejunk
这里写图片描述
点击E(Edit),弹出记事本
这里写图片描述
在PatList任意一项中多添加一个标号,并在该标号的位置填入你的替换代码
S为原指令的操作码
D为目标指令的操作码
这里写图片描述
这里将那一堆Push/Pop指令全都用nop填充
由于花指令是从古0x00401000开始,所以就从这儿开始运行dejunk,我没有数需要填充多少,干脆将去除字节设置为最大99999
填充之后保存到run_dump,拖入IDA就可以进行静态分析
3、自己写脚本
使用Python脚本剔除花指令(注意环境是Python2)

data = open('run_dump1.exe','rb').read()
data = data.replace('\x60\x61\x90\x50\x58\x53\x5b','\x90\x90\x90\x90\x90\x90\x90')
open('run_dejunk.exe','wb').write(data)

0x04 继续静态分析

将去除花指令的程序拖入IDA中就可以F5静态分析
加密关键代码:
这里写图片描述
但是没秘钥啊就很捉急
看大神们的WP提示这里file是exe类型,用到了PE文件结构中“This program cannot be run in DOS mode”这句话
就是在PE文件中一定会有这句话,而且一定会在固定的位置上
这样我们就有了 原数据(上面那句话的hex形式)和加密后文数据(file中相应位置上的hex数据),根据加密算法可以反推出key来
脚本

enc='C7F2E2FFAFE3ECE9FBE5FBE1ACF0FBE5E2E0E7BEE4F9B7E8F9E2B3F3E5ACCBDCCDA6F1F8FEE9'.decode(hex)
dec='This program cannot be run in DOS mode'

enc=list(enc)
dec=list(dec)
key=''
for i in range(len(enc)):
    enc[i] = (~ord(enc[i]))&255
    key += chr(ord(dec[i])^enc[i])
print (key)

解出key为letsplaychess

在run.exe中输入letsplaychess,待程序执行完毕后,将file文件加后缀名exe,运行得到flag

wp参考:wp

Gxiandy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ransomware(假的勒索病毒)逆向分析
iqiqiya的博客
08-22 2761
  0x01:PEiD查壳 无壳  运行之后也没中毒 无毒 0x02: 运行一下看看  可用的只有一个输入框和一个按钮(Decrypt) 这里可以通过Restorator进行分析 随意输入123456789   点击Decrypt    弹出对话框 看到关键点    一个是触发的MessageBox   (通过下API断点) 一个是关键字符串  Wrong,The passwor...
OtterCTF—内存取证wp
m0_66638011的博客
05-09 5079
前几天有幸参加了本市的选拔赛,其中有内存取证的,当时就愣住了,考完后赶紧找目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
[OtterCTF 2018] 电子取证
qq_61768489的博客
08-14 849
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
Otter CTF (取证专项赛)WP兼volatility取证工具运用技巧
Nancy523的博客
07-14 2553
复现赛链接:NSSCTF - OtterCTF 2018(复现赛) (ctfer.vip)附件链接:OtterCTF.7zyou got a sample of rick’s PC’s memory. can you get his user password?惯例,拿到附件以后先分析一下映像的信息使用hashdump来获取用户hash使用lsadump从注册表中提取LSA秘钥信息(mimikatz也可以)Let’s start easy - whats the PC’s name and IP addre
170929 逆向-Reversing.kr(Ransomware
whklhhhh的博客
09-29 797
1625-5 王子昂 总结《2017年9月29日》 【连续第362天总结】 A. Reversing.kr-Ransomware B. Ransomwarereadme提示解密文件,运行一堆乱码,估计可能是韩文吧 查壳发现有UPX 用ESP定律手脱下来以后拖入IDA发现main函数块巨大,反编译会一直等待 拖入OD进行跟踪,发现在exit前,位于44ab75的call会飞 跟进去以后是
Scripted-Ransomware-builder-master.zip
09-11
【Scripted-Ransomware-builder-master.zip】是一个包含源代码的压缩包,标签为"ransomware",这表明其中的内容可能与创建或研究勒索软件有关。勒索软件是一种恶意软件,它会加密用户的数据并要求支付赎金以解锁。在...
精品软件工具--Jasmin Ransomware 是一款用于模拟真实勒索软件攻击的高级红队工具(WannaCry C.zip
02-07
Jasmin Ransomware 是一个专门设计用于安全测试和红队行动的高级工具,它能够模拟真实世界中的勒索软件攻击行为,帮助网络安全专业人员评估组织的防护能力和响应机制。这款工具通常不应用于非法或恶意目的,而是用于...
Jigsaw-Ransomware-master.zip
09-09
拼图勒索软件,或称为Jigsaw Ransomware,是一种恶意软件,属于赎金ware类别,它的主要目标是加密用户的文件并要求支付赎金以解密。这个名称来源于电影《电锯惊魂》中的反派角色"拼图",它以其独特的威胁方式而闻名...
Ransomware-NodeJS:勒索软件开源
03-10
Ransomware-NodeJS仅用于教育/研究目的。 对于您选择如何使用所提供的任何工具/源代码/任何文件,作者概不负责。 对于使用Ransomware-NodeJS随附的任何文件,作者和与之有关联的任何人概不负责。 通过使用Ransomware...
RedEye-Ransomware-master.zip
09-09
这个"RedEye-Ransomware-master.zip"文件可能是RedEye勒索软件的一个研究副本或者是一个教学资源,包含了该恶意软件的源代码,用于分析、理解和防止这种威胁。 在深入探讨RedEye勒索软件之前,我们需要理解什么是...
如何恶心CTF逆向选手 第一季
Zarcs_233的博客
04-28 834
之前参加了NPUCTF,当时的一道re目可以说是印象颇深了,第一道就开始了操作,而且接下来好几道都是照搬这种操作,于是乎我从中得到启发,开发出了一种BT操作恶心做人。 先来看看npuctf的第一道目长啥样吧。 看到了嘛,超级多的函数和一些杂乱无章的逻辑操作,看起来复杂的要命,让人看都不想看,但是其实慢慢分析发现好多if都是假的,好多位运算就是加减乘除运算,垃圾代码一大堆。 于是乎我在想...
171002 逆向-Reversing.kr(AutoHotKey)
whklhhhh的博客
10-02 1087
1625-5 王子昂 总结《2017年10月2日》 【连续第367天总结】 A. Reversing.kr-AutoHotKey B.AutoHotKey解压出来一个ReadMe一个exe 这次的ReadMe终于看懂了,要求找到两个md5,解密后以空格连接作为flag 那么这两个md5会以什么形式出现呢……查壳显示UPX,乖乖用工具脱掉后再运行提示“Exe corrupted” 未脱壳的
Reversing.kr-Ransomware
宗泽的博客
08-07 396
打开后,发现是乱码,这是个悲伤的故事。。 再查一下壳,有壳, 直接上脱壳机,可以把壳给脱掉, 接着放进IDA里,发现还不太行,F5不管用了,ida提示文件太大,没法反汇编。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190807164903278.png 仔细看一下主函数,有大量的无用的代码,花指令。直接写IDC脚本给nop掉,结果还是不行,再找找...
ASP基于BS结构的学生在线选课系统的实现(源代码+论文).rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
基于SSM的高校实验室预约管理系统的设计与实现源码
08-10
本系统结合当前实验室预约、使用和管理中存在的问和现状进行分析,设计一套可以解决实验室使用冲突、预约流程简单的实验室预约管理系统,满足实验室的在线预约申请与审核的基本需求,可以方便对实验室和实验室设备进行信息化管理。本系统中的教师可以查看当前实验室以及设备的基本信息,在线进行实验室的预约。管理员可以对实验室和实验室的设备进行管理,以及实验室的预约申请进行审核。
毕业设计javajsp超市会员管理系统ssm源码含文档工具包
08-10
毕业设计javajsp超市会员管理系统ssm源码含文档工具包 后台是ssm框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 会员管理 公告育理 评论管理 前台 邮箱管理 积分管理 帮动 修改密码 退出系统 会员管理 公告管理 评论管理 工具管理 包含:源码、数据库脚本、论文、答辩ppt、开报告、环境工具包、相同框架项目的安装教程(在说明文档中)
STM32F103C8T6 CAN通讯HAL库代码,采用中断接收,含Stm32CubeMX工程
最新发布
08-10
STM32F103C8T6 CAN通讯HAL库例程代码,采用中断接收,含Stm32CubeMX工程
c++的概要介绍与分析
08-10
C++是一种广泛使用的编程语言,它以其强大的功能和灵活性在计算机科学领域占据重要地位。以下是对C++资源的详细描述: 一、C++概述 C++是在C语言的基础上发展而来的,它保留了C语言的简洁、高效和接近硬件等特点,并增加了面向对象编程的支持。C++支持面向过程和面向对象的程序设计方法,使得开发者能够根据需要灵活选择编程范式。 二、C++特点 高效性:C++生成的代码质量高,程序执行效率高,仅比汇编语言慢10%~20%。 面向对象:支持封装、继承和多态等面向对象编程特性,便于构建复杂系统。 兼容性:与C语言高度兼容,绝大多数C语言程序可以不经修改在C++环境中运行。 可扩展性:支持泛型编程、模板等高级特性,提高了代码的可重用性和可维护性。 三、学习资源 官方文档:C++标准委员会发布的官方文档是了解C++语言特性的权威资源。 书籍:《C++ Primer》、《Effective C++》等经典书籍是学习C++的必备资料,它们详细介绍了C++的语法、特性和最佳实践。 在线课程:Coursera、网易云课堂等在线教育平台提供了丰富的C++课程,适合不同水平的学习者。 社区和论坛:Stac
ransomware file decryptor
09-17
Ransomware文件解密工具是一种用于恢复被勒索软件(ransomware)加密的文件的工具。勒索软件是一种恶意软件,它会在用户的计算机上加密文件,并要求用户支付赎金才能解密文件。 Ransomware文件解密工具的目的是为了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值