病毒名:GhostPetya
病毒信息:Win32 EXE
病毒MD5:C8AD4F6EFD75D5693A0C6D67C82906FE
这是主函数入口,看到如下红框,调用的函数的地址都是动态生成的,只能使用OD进行调试了。
一路单步步过,没做什么操作,一开始我调试时老是跑飞,不知道病毒心代码的入口在哪,最后,才发现下图红框EnumWindowStationsW函数处是入口。EnumWindowStationsW的作用是为窗口注册触发一个回调函数,这里的回调函数是0x4364AC。
我们如果直接在IDA中反汇编0x4364AC处的代码,会发现是乱码,这是由于这段代码是经过加密的。解密操作在EnumWindowStationsW上面的两个函数,先使用VirtualProtect将0x43163C开始的一片内存的属性改为RWX,然后对0x43163C处的数据进行解密。
解密算法如下。
解密后的0x4364AC函数如下ÿ