勒索软件分析_目标文件扫描行为分析

已于 2024-07-24 15:24:10 修改
阅读量402 收藏 10
点赞数 4
分类专栏: 勒索软件 文章标签: 学习
于 2024-06-04 22:08:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kitsch0x97/article/details/139453835
版权
本文分析了勒索软件BlackBasta和AvosLocker如何利用FindFirstVolumeW、FindNextVolumeW、GetVolumePathNamesForVolumeNameW和GetVolumeInformationW等Windows API来遍历卷信息和文件。BlackBasta首先搜索系统卷,获取驱动器号和挂载路径,然后使用FindFirstFileW和FindNextFileW进行文件扫描,区别于其他勒索软件的后缀过滤策略。AvosLocker也有相似的卷扫描行为,但卷扫描与文件扫描是分开执行的。
摘要由CSDN通过智能技术生成

BlackBasta首先通过 FindFirstVolumeW 与 FindNextVolumeW 实现系统中第一个卷的搜索和其余卷的遍历,之后通过 GetVolumePathNamesForVolumeNameW 检索指定卷的驱动器号和挂载的文件夹路径列表,然后通过 GetVolumeInformationW 获取关于指定卷的信息,具体代码如下所示。

  • FindFirstVolumeW vs. FindNextVolumeW:FindFirstVolumeW函数是Windows API中的一个函数,用于搜索计算机上的第一个卷的相关信息。它会打开一个卷搜索句柄,并返回与第一个找到的卷相关的信息。这个函数通常与FindNextVolume函数一起使用,后者用于搜索其他的卷。通过使用FindFirstVolumeW函数,我们可以枚举计算机上的所有卷,获取它们的名称以及其他属性信息。
  • GetVolumePathNamesForVolumeNameW:该函数用于检索指定卷的驱动器号和挂载的文件夹路径列表。它的功能是通过传入卷名,获取该卷对应的驱动器号以及挂载点的路径列表。这个函数的返回值是一个布尔类型,指示操作是否成功。当函数成功执行后,它会通过传入的缓冲区指针,返回驱动器号和挂载点路径的列表。返回的路径列表是以Null字符('\0')作为分隔符的字符串数组,以表示列表的结束。
  • GetVolumeInformationW:该函数的作用是获取关于指定卷的信息。这个Windows API函数可以用于检索指定卷的文件系统、卷标、序列号、每个簇的字节数、总簇数、可用簇数等信息。通过调用GetVolumeInformationW函数,可以让程序获取有关特定卷的重要信息,这在文件系统管理和数据操作中非常有用。
_DWORD *__cdecl sub_40EE40(_DWORD *a1)
{
  # 定义用于存储第一个卷的句柄
  HANDLE FirstVolumeW; // esi
  unsigned int v2; // kr00_4
  _DWORD *v3; // eax
  void *v4; // edx
  DWORD cchReturnLength[2]; // [esp+Ch] [ebp-C40h] BYREF
  HANDLE v7; // [esp+14h] [ebp-C38h]
  int v8; // [esp+18h] [ebp-C34h]
  DWORD FileSystemFlags[2]; // [esp+1Ch] [ebp-C30h] BYREF
  void *Block[4]; // [esp+24h] [ebp-C28h] BYREF
  __int64 v11; // [esp+34h] [ebp-C18h]
  WCHAR szVolumePathNames[1024]; // [esp+3Ch] [ebp-C10h] BYREF
  WCHAR szVolumeName[512]; // [esp+83Ch] [ebp-410h] BYREF
  int v14; // [esp+C48h] [ebp-4h]

  cchReturnLength[1] = (DWORD)a1;
  *a1 = 0;
  a1[1] = 0;
  a1[2] = 0;
  v14 = 0;
  FileSystemFlags[1] = 1;
  # 调用 FindFirstVolumeW 查找系统中的第一个卷
  FirstVolumeW = FindFirstVolumeW(szVolumeName, 0x200u);
  v7 = FirstVolumeW;
  do
  {
    # 通过 GetVolumePathNamesForVolumeNameW 获取卷的路径
    if ( GetVolumePathNamesForVolumeNameW(szVolumeName, szVolumePathNames, 0x400u, cchReturnLength)
      # 获取卷路径相关信息
      && GetVolumeInformationW(szVolumePathNames, 0, 0, 0, 0, FileSystemFlags, 0, 0)
      # 检测文件系统标识符
      && (FileSystemFlags[0] & 0x80000) == 0 )
    {
      v2 = wcslen(szVolumePathNames);
      Block[0] = 0;
      v11 = 0xF00000000i64;
      sub_41B200(Block, (int)(2 * v2) >> 1);
      LOBYTE(v8) = 0;
      sub_403230(Block, (int)szVolumePathNames, (int)&szVolumePathNames[v2], v8);
      v14 = 1;
      v3 = (_DWORD *)a1[1];
      if ( v3 == (_DWORD *)a1[2] )
      {
        sub_403640(v3, Block);
      }
      else
      {
        *v3 = 0;
        v3[4] = 0;
        v3[5] = 0;
        *(_OWORD *)v3 = *(_OWORD *)Block;
        *((_QWORD *)v3 + 2) = v11;
        a1[1] += 24;
        v11 = 0xF00000000i64;
        LOBYTE(Block[0]) = 0;
      }
      LOBYTE(v14) = 0;
      if ( HIDWORD(v11) >= 0x10 )
      {
        v4 = Block[0];
        if ( (unsigned int)(HIDWORD(v11) + 1) >= 0x1000 )
        {
          v4 = (void *)*((_DWORD *)Block[0] - 1);
          if ( (unsigned int)(Block[0] - v4 - 4) > 0x1F )
            _invalid_parameter_noinfo_noreturn();
        }
        sub_43851F(v4);
      }
      FirstVolumeW = v7;
      v11 = 0xF00000000i64;
      LOBYTE(Block[0]) = 0;
    }
  }
  # 通过 FindNextVolumeW 枚举系统中所有卷
  while ( FindNextVolumeW(FirstVolumeW, szVolumeName, 0x200u) );
  FindVolumeClose(FirstVolumeW);
  return a1;

BlackBasta通过FindFirstFileW启动硬盘中文件的扫描,通过FindNextFileW实现文件枚举。不同于其他勒索软件,BlackBasta首先过滤指定的文件夹或文件(其他勒索软件会根据后缀过滤)。

  • FindFirstFileW vs. FindNextFileW:FindFirstFileW函数是Windows API中的一个函数,用于在指定目录中查找第一个符合指定条件的文件或文件夹。这个函数可以帮助程序员遍历目录下的文件和文件夹,以便进行文件管理、处理和操作。通过调用FindFirstFileW函数,可以获取目录中符合条件的第一个文件或文件夹的信息,如文件名、大小、创建时间等。这对于编写文件管理、浏览器和其他类似应用程序非常有用。FindNextFileW通常与FindFirstFileW函数一起使用,用于在指定目录中继续查找与之前调用FindFirstFileW函数获得的文件或文件夹匹配的下一个文件或文件夹。

AvosLocker通过中也存在类似的操作(通过搜索字符串 FindFirstVolumeW ),值得注意的是上述两种勒索软件针对卷的扫描和针对文件的扫面是分开的。

void sub_414C40()
{
  WCHAR *v0; // eax
  WCHAR *v1; // edi
  HANDLE FirstVolumeW; // esi
  int v3; // esi
  HANDLE v4; // [esp+10h] [ebp-220h]
  DWORD cchReturnLength; // [esp+14h] [ebp-21Ch] BYREF
  WCHAR RootPathName[2]; // [esp+18h] [ebp-218h] BYREF
  int v7; // [esp+1Ch] [ebp-214h]
  WCHAR szVolumePathNames[262]; // [esp+20h] [ebp-210h] BYREF

  *(_DWORD *)RootPathName = 3801178;
  v7 = 92;
  cchReturnLength = 0;
  v0 = (WCHAR *)malloc(0x10000u);
  v1 = v0;
  if ( v0 )
  {
    FirstVolumeW = FindFirstVolumeW(v0, 0x8000u);
    v4 = FirstVolumeW;
    do
    {
      if ( !GetVolumePathNamesForVolumeNameW(v1, szVolumePathNames, 0x78u, &cchReturnLength)
        || lstrlenW(szVolumePathNames) != 3 )
      {
        v3 = 0;
        RootPathName[0] = 90;
        while ( GetDriveTypeW(RootPathName) != 1 )
        {
          ++v3;
          --RootPathName[0];
          if ( v3 >= 26 )
            goto LABEL_10;
        }
        SetVolumeMountPointW(RootPathName, v1);
LABEL_10:
        FirstVolumeW = v4;
      }
    }
    while ( FindNextVolumeW(FirstVolumeW, v1, 0x8000u) );
    FindVolumeClose(FirstVolumeW);
    free(v1);
  }
}

kitsch0x97
关注
专栏目录
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8608
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6363
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
Windows获取磁盘信息
小黑话不多
05-27 2470
Windows下磁盘相关操作: 1. 使用FindFirstVolume, FindNextVolume查询所有磁盘; 2. QueryDosDevice获取设备名称; 3. GetVolumePathNamesForVolumeName获取路径信息,如C:, D:; 4. GetDriveType获取磁盘类型,不同返回值代表的类型如下图: #include #include #
c语言 查看磁盘信息,Windows获取磁盘信息
weixin_33514221的博客
05-23 1051
Windows下磁盘相关操作:1. 使用FindFirstVolume,FindNextVolume查询所有磁盘;2. QueryDosDevice获取设备名称;3. GetVolumePathNamesForVolumeName获取路径信息,如C:, D:;4. GetDriveType获取磁盘类型,不同返回值代表的类型如下图:#include #include #include void G...
【Windows API】获取卷标、卷名
sunriver2000的专栏
08-11 909
使用FindFirstVolume()和FindNextVolume()函数体系,枚举系统所有卷(Volume)的例子。可以枚举出没有驱动器号(卷标)的卷。输入。
卷管理函数(续)
都市夜猫的专栏
08-08 1301
上一篇研究了利用 DefineDosDevice 和 QueryDosDevice 这两个函数来映射一个文件夹到一个本地盘符,以及查询所有 DOS 映射设备的方法,附带发现了一个获取硬盘序列号的方法。卷挂接在 Unix/Linux/Netware 系统上应用比较常见,Windows 可能由于多用于个人平台,所以知道卷挂接技术的人就比例上来说少了很多。你可以将它理解为:把一个物理设备挂接到一个逻辑盘
VHD的各种操作
alpc40计算机视觉开发
11-15 2171
盘符,示例:C:\、D:\等 device路径,示例:\Device\HarddiskVolume? 物理路径,示例:\\.\PHYSICALDRIVE? 卷路径,示例:\\?\Volume{a7210e4f-0000-0000-0000-010000000000}\ VHD路径,示例:E:\test.vhd   扩展(diskpart) Select vdisk file=”E:\...
73.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读_网络_杨秀璋的专栏-CSDN博客1
08-03
WannaCry,又称WannaCrypt0r或WCry,是一款利用NSA泄露的武器级工具EternalBlue的蠕虫式勒索软件。它于2017年5月爆发,利用了Windows SMB(Server Message Block)服务的MS17-010漏洞,对全球范围内的Windows系统...
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
热门推荐
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
杨秀璋的专栏
02-27 1万+
作者前文介绍了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助,漫漫长征路,偏向虎山行。享受过程,一起加油~
文件存储:File Systems 文件系统
weixin_42465002的博客
09-16 1542
Applications rely on file systems to store and retrieve information on mass storage devices. File systems provide the underlying support that applications need to create and access files and directo...
如何枚举windows系统中的所有设备
飞空静渡
04-15 4759
 对于在linux下,我们可以读取/proc/partitions来获得系统中所有的硬盘和分区的各个设备名,但对于windows下,我们又如何获得系统下的各个设备呢,这里用了windows下的API --- FindFirstVolume、 FindNextVolume 和 FindVolumeClose。这些API可以枚举windows系统下的各个设备。 
Service如何利用RegisterDeviceNotification监控Volume的装载和卸载
jiangfuqiang的专栏
11-03 9871
windows提供了以下api来向系统注册一个函数,当有volume增删(比如U盘插拔、新建分区)的时候,通知应用程序:HDEVNOTIFY WINAPI RegisterDeviceNotification(  __in  HANDLE hRecipient,// 可以是窗口句柄或者服务句柄  __in  LPVOID NotificationFilter,  __in  D
Displaying Volume Paths
01-04 1372
Displaying Volume Paths From http://msdn.microsoft.com/en-us/library/cc542456(VS.85).aspx The following C++ example shows how to display all paths for each volume and device. For each
VC 根据文件路径获取设备路径及设备名
TC500的博客
06-23 1191
项目中间遇到一个问题,需要判断文件在哪个设备上,翻了一遍MSDN,找到了下面的解决方案。 有人可能会觉得_splitPath就可以了,这是不行的,因为_splitPath不能正确获取挂载到目录的设备。 解决思路方法是GetVolumePathName获取设备根路径,然后调用GetVolumeInformation获取设备的名称。之所以要获取设备的名称是因为:CreatFile的输入路径
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
最新发布
qq_44189622的博客
09-11 811
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
勒索软件的演变与取证分析
勒索软件是一种恶意软件,它通过锁定用户屏幕或加密重要文件勒索赎金。这种威胁在全球范围内不断演变,尤其在中国已经成为重灾区。2017年,中国在全球受勒索软件影响的国家中排名第二。自1989年的AIDS/PC-CYBORG ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值