GhostPetya骷髅头病毒分析

最新推荐文章于 2024-05-25 08:15:24 发布
最新推荐文章于 2024-05-25 08:15:24 发布
阅读量6.4k 收藏 6
点赞数
分类专栏: 恶意软件分析 文章标签: GhostPetya
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/84983199
版权

病毒名:GhostPetya
病毒信息:Win32 EXE
病毒MD5:C8AD4F6EFD75D5693A0C6D67C82906FE

这是主函数入口,看到如下红框,调用的函数的地址都是动态生成的,只能使用OD进行调试了。
1

一路单步步过,没做什么操作,一开始我调试时老是跑飞,不知道病毒心代码的入口在哪,最后,才发现下图红框EnumWindowStationsW函数处是入口。EnumWindowStationsW的作用是为窗口注册触发一个回调函数,这里的回调函数是0x4364AC。
2

我们如果直接在IDA中反汇编0x4364AC处的代码,会发现是乱码,这是由于这段代码是经过加密的。解密操作在EnumWindowStationsW上面的两个函数,先使用VirtualProtect将0x43163C开始的一片内存的属性改为RWX,然后对0x43163C处的数据进行解密。
3

解密算法如下。
4

解密后的0x4364AC函数如下ÿ

最低0.47元/天 解锁文章
G4rb3n
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
骷髅头病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅头病毒感染迹象以及特征码
骷髅头
02-16
骷髅头
骷髅头(原版)样本下载
最新发布
yuan123456id的博客
05-25 410
骷髅头(原版)样本下载
骷髅病毒分析
m0_64973256的博客
03-17 654
一、病毒信息病毒名称:骷髅病毒文件名称:d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827文件格式:EXEx86文件类型(Magic):PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed文件大小:66.50KBSHA256:d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827S
BAT病毒代码(一)
2301_78588271的博客
06-23 5150
msgbox "点不完吧,气不气?
bat病毒2.0(逆天增强)
Wzx080904的博客
06-24 561
echo off:fuckgoto fuck。
bat病毒代码介绍
tico2011的博客
10-04 1万+
bat病毒代码
骷髅头内存遍历工具.rar
06-29
总的来说,"骷髅头内存遍历工具"是一个对开发者极有价值的资源,它不仅提供了一个实用的内存分析工具,还通过源代码教学了内存管理、调试和优化的相关知识。无论是初学者还是经验丰富的程序员,都能从中受益。通过...
骷髅头图标下载
12-25
骷髅头图标是一种常见的视觉元素,常用于表示警告、危险或死亡等概念,在软件、游戏设计、图形艺术、安全标志等多个领域中都有广泛应用。在IT行业中,骷髅头图标的设计和使用涉及到用户界面(UI)设计、图形设计、...
朋克摩托车骷髅头网站模板
03-31
朋克摩托车骷髅头网站模板
如何对抗骷髅头病毒
m0_49589385的博客
07-10 1207
骷髅头病毒是什么: 呃,其实这里的骷髅头不是Petya,是那个骷髅头,他的行为就是修改用户的密码,并勒索钱财 骷髅头的作者叫小天。。 运行之后会有一个骷髅头的画面,然后几个弹窗再配上鬼畜的BGM,这简直。。。,不要太鬼畜???????? 如何对抗他修改用户密码呢 你要新建一个DOS处理文件,后缀为.bat就像 然后写入 net user Administrator 123 %0 上面的Administrator是我的用户名,你可以根据现在的情况来填,123就是密码 在骷髅头运行的时候顺便也运行那个脚本,
psd 骷髅头
01-08
Adobe Photoshop,简称“PS”,是一个由Adobe Systems开发和发行的图像处理软件。Photoshop主要处理以像素所构成的数字图像。
会跳舞的骷髅
12-29
基于flash开发的动画,包含源文件和swf,适合初学者学习
骷髅头硬盘锁源码
08-31
很强大的硬盘锁
骷髅病毒分析报告
weixin_33962923的博客
11-03 474
2019独角兽企业重金招聘Python工程师标准>>> ...
简单整蛊室友,只需几行bat病毒代码
热门推荐
f32556b6edcdc80c的博客
10-07 3万+
整蛊室友,马上搞定。
PCB Windows Petya(永恒之蓝)勒索病毒补丁检测代码
weixin_30480651的博客
12-13 454
公司内部电脑招受到新的勒索病毒Petya(永恒之蓝)攻击,直接导致受攻击的电脑系统崩贵无法启动,这次勒索病毒攻击影响范围之广,IT,人事,工程,生产,物控等部门都无一幸免,对整个公司运转产生了非常严重的破坏, 经过整个IT运维与开发团队的全体努力病毒基本得到了控制。在这里分享一下Petya(永恒之蓝)勒索病毒补丁检测 关于Petya勒索信息可以点击http://blogs.360.cn/post...
停止程序后出现红色骷髅头
05-31
在PHP中,当程序出现致命错误时,会出现一个红色的骷髅头,并显示错误信息。这通常是由于代码中存在不可恢复的错误,例如语法错误、函数或类不存在等问题导致的。当这些错误发生时,PHP解释器无法继续执行程序,因此会停止程序,并在网页上显示骷髅头和错误信息。 如果您的程序出现红色的骷髅头,那么您需要检查代码并修复错误。通常情况下,错误信息会提供一些提示,可以帮助您找到错误并解决它们。如果您无法找到错误,可以尝试将错误报告级别设置为 E_ALL,这将显示所有类型的错误,包括警告和提示信息,以便您更容易地找到错误并修复它们。 请注意,由于红色的骷髅头和错误信息可能会向用户显示敏感信息,因此在生产环境中应禁用错误报告,以提高安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值