GhostPetya骷髅头病毒分析

最新推荐文章于 2025-02-13 20:30:33 发布
最新推荐文章于 2025-02-13 20:30:33 发布
阅读量6.9k 收藏 6
点赞数
分类专栏: 恶意软件分析 文章标签: GhostPetya
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/84983199
版权
本文详细剖析了GhostPetya病毒,从Win32 EXE的MD5值开始,揭示了其动态生成函数地址、加密代码、EnumWindowStationsW函数作为入口的技巧。病毒通过Process-Doppelganging技术注入恶意PE,篡改MBR并显示骷髅头警告,要求支付比特币。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

病毒名:GhostPetya
病毒信息:Win32 EXE
病毒MD5:C8AD4F6EFD75D5693A0C6D67C82906FE

这是主函数入口,看到如下红框,调用的函数的地址都是动态生成的,只能使用OD进行调试了。
1

一路单步步过,没做什么操作,一开始我调试时老是跑飞,不知道病毒心代码的入口在哪,最后,才发现下图红框EnumWindowStationsW函数处是入口。EnumWindowStationsW的作用是为窗口注册触发一个回调函数,这里的回调函数是0x4364AC。
2

我们如果直接在IDA中反汇编0x4364AC处的代码,会发现是乱码,这是由于这段代码是经过加密的。解密操作在EnumWindowStationsW上面的两个函数,先使用VirtualProtect将0x43163C开始的一片内存的属性改为RWX,然后对0x43163C处的数据进行解密。
3

解密算法如下。
4

解密后的0x4364AC函数如下ÿ

最低0.47元/天 解锁文章
骷髅病毒分析
m0_64973256的博客
03-17 863
一、病毒信息病毒名称:骷髅病毒文件名称:d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827文件格式:EXEx86文件类型(Magic):PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed文件大小:66.50KBSHA256:d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827S
整蛊小病毒,自己拿来快乐
didui8950的博客
05-30 2698
今天刚学了关于网络安全的东西,稍微学了点小的东西,来做个笔记。 自己玩的话,最后在虚拟机上玩!! 现在我来列举一下一些整蛊的小病毒(直接把代码丢在记事本内,把后缀改为.bat): 让桌面消失的病毒 @echo off taskkill /im explorer.exe /f (解决方法:重启) 所有文件失效病毒 @echo off as...
Crossbow病毒开放源代码
weixin_33725239的博客
11-12 145
Code{**********************************************************************}{}{CrossbowVirusOpenSourceProject...
骷髅头病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅头病毒感染迹象以及特征码
MEMZ病毒代码(.bat)
最新发布
jcx1019的博客
02-13 730
【代码】MEMZ病毒代码(.bat)
骷髅病毒分析报告
weixin_33962923的博客
11-03 554
2019独角兽企业重金招聘Python工程师标准>>> ...
psd 骷髅头
01-08
Adobe Photoshop,简称“PS”,是一个由Adobe Systems开发和发行的图像处理软件。Photoshop主要处理以像素所构成的数字图像。
病毒代码
ygyangguang的专栏
12-08 1510
{**********************************************************************}{                                                                      }{                  Crossbow Virus OpenSource Project    
骷髅头
02-16
在Swift编程语言中,"骷髅头"这个概念可能指的是一个特定的项目或者代码库,因为文件名称列表中提到了"skullibrista-master",这通常代表了一个Git仓库的主分支。Swift是Apple公司推出的一种开源编程语言,用于构建...
和平精英骷髅头直装1.9(搭配驱动使用).apk
11-02
和平精英骷髅头直装1.9(搭配驱动使用).apk
骷髅头硬盘锁源码
08-31
很强大的硬盘锁
网站源码骷髅头很漂亮的 淘宝有的卖100元呢 免费送了
02-17
网站源码骷髅头很漂亮的 淘宝有的卖100元呢 免费送了
如何对抗骷髅头病毒
m0_49589385的博客
07-10 1417
骷髅头病毒是什么: 呃,其实这里的骷髅头不是Petya,是那个骷髅头,他的行为就是修改用户的密码,并勒索钱财 骷髅头的作者叫小天。。 运行之后会有一个骷髅头的画面,然后几个弹窗再配上鬼畜的BGM,这简直。。。,不要太鬼畜???????? 如何对抗他修改用户密码呢 你要新建一个DOS处理文件,后缀为.bat就像 然后写入 net user Administrator 123 %0 上面的Administrator是我的用户名,你可以根据现在的情况来填,123就是密码 在骷髅头运行的时候顺便也运行那个脚本,
用bat做一个简易勒索病毒
2401_86802274的博客
08-18 701
将上面这串代码复制到记事本中,并将后缀名更改为bat。鼠标右击以管理员身份运行即可。病毒将利用修改用户电脑密码的方式起到勒索作用。用bat做一个简易勒索病毒。备注:修改后密码为1234。请勿用于任何非法用途。
彩虹猫源代码
热门推荐
wyx12346的博客
05-01 1万+
@echo off echo UEsDBBQAAAAIAHV36kiQ6IfZcyEAAAA6AAAIAAAATUVNWi5leGXtew10U8e17kg6soUtjACbGGzi>x echo AxgMyD9Hlm1sY4JkW2AH/wjLP5BgB9k6RhKSjqIfbKcJyBgaqw65tM1NIJckNE1705Tcpi3JJWma>>x echo OD830Da0TptFSQOpXx7NFSnhmYRbnIRw3jfnyMZpfmCt99b7WauzvM+c2TOz95
恐怖代码(禁止入内)
fertd的博客
10-18 1万+
例如:1.2.3.4.5.6.7.8.9................................................................................................................
20145233计算机病毒实践5之动静态分析
weixin_30915275的博客
06-08 152
20145233计算机病毒实践5之动静态分析 Lab03-01静态分析 PEiD 可以看出来已经被加壳了 使用info后看到看到使用的是upx加壳 PEview PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构和内容,提供了一种快速简便的方法。这家PE / COFF文件查看器显示标题,章节,目录,导入表,导出表,内部信息和资源的EXE,DLL,...
病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法
solarset的博客
11-18 712
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值