vc++ 逆向工具_勒索病毒加密算法逆向识别

最新推荐文章于 2024-04-19 17:13:13 发布
最新推荐文章于 2024-04-19 17:13:13 发布
阅读量330 收藏
点赞数
文章标签: vc++ 逆向工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39623050/article/details/111333327
版权

1 前言

使用IDA Pro进行分析时,通常只是利用它的反汇编功能,更快的分析汇编代码辅助后续需要采用的动态调试过程。由于hexray插件的强大,极大的提升了逆向效率。但是对于没有签名库匹配的情况下,得到都是未命名的函数,所以识别这些函数就成了一个问题。

提及一下FLIRT的原理:从函数的前32个字节中提取模式并使其成为签名。当然,如果模式相同,则会发生冲突。如果需要提取签名的库很大,则会遇到很多奔溃错误。

openssl算法库在勒索病毒(853358339279b590fb1c40c3dc0cdb72)中也算是比较常见,会静态链接至恶意软件,这为制作签名提供了基础。

所以接下来就是比较接近实操的IDA签名制作过程,记录一下。

首先逆向勒索病毒的时候通过IDA的字符串搜索功能找到使用的openssl版本号,这里是openssl-1.1.1b。

C:\\lib\\openssl-1.1.1b\\win32-release\\lib\\engines-1_1

3f9685008830cef8fd11c88d9f8ea71d.png

需要一个库文件来制作签名,库文件是.lib文件,等效于.dll,同样编译openssl还需要Perl环境。

2 开始安装环境

在Window安装Perl&

最低0.47元/天 解锁文章
weixin_39623050
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
IDA+hexray程序+教程(5)
06-30
IDA+Hexray程序+教程 可分析反汇编文件生成代码文件 由于文件过大分为5个包上传,只收一次分
基于VC平台下C++反汇编与逆向分析研究——No.1
三缺
05-27 4256
首先感谢小生我怕怕大神,这个是他的随笔,作为一个业余爱好者,确实挺喜欢这门技术,所以做了这个系列的转载,后面会慢慢更新! 不过时间有限,一边考研,为了给自己枯燥的生活带来点乐趣,故选择随便看些东西! ———————————————————————————————————————————————— 分析环境:WIN7sp1 所用工具VC++6.0/OllyDBG/IDA 适用人群
恶意软件逆向工程:Ghidra 入门 -第三部分-分析 WannaCry 勒索软件
最新发布
YJ_12340的博客
04-19 1380
逆向工程是最受欢迎和最有价值的网络安全/信息安全技能之一。但很少有人能将自己的技能水平发展到精通这一备受追捧的技能。Ghidra是美国间谍机构NSA提供的一种相对较新且免费的逆向工程工具。WannaCry。它感染了全球30多万台电脑,如果不是马库斯-赫钦斯(Marcus Hutchens,又名MalwareTech)的工作和技能,可能会造成巨大的破坏。获得了该恶意软件的样本,并立即开始检查其代码。在其中,他发现了通常被称为killswitch的东西。
DarkAngels勒索病毒分析
weixin_43781139的博客
10-11 1595
对DaekAngle勒索病毒逆向分析
拼多多anti_content参数加密逆向JS 最新可用
05-11
最新可用 拼多多api解密 拼多多anti_content参数逆向分析 拼多多JS anti_content参数加密解析 node 解密下载即有用
彼岸花全套源码18_2.rar_Gh0st_Gh0st 彼岸_vc++_彼岸_彼岸花
07-15
【彼岸花全套源码18_2.rar_Gh0st_Gh0st 彼岸_vc++_彼岸_彼岸花】这个压缩包文件主要包含了一款名为“Gh0st”的软件的源代码,该软件是用C++编程语言编写的。"Gh0st"通常指的是一个远程访问木马(RAT),这是一种恶意...
RMM.rar_rmm逆向最大_分词_最大匹配算法_逆向最大匹配算法实现分词
09-24
逆向最大匹配(RMM,Reverse Maximum Matching)算法是一种在自然语言处理中广泛使用的中文分词方法。在中文文本处理中,由于汉字不带有明显的边界标识,因此需要借助特定的算法来确定词语的边界,而分词就是这个...
MTK6582快捷逆向移植工具_联发科MT6582逆向移植工具_
09-30
MTK6582快捷逆向移植工具是针对联发科MT6582处理器的固件移植开发的专用软件。联发科MT6582是一款基于ARM Cortex-A7架构的四核移动处理器,常见于中低端智能手机和平板电脑。这款处理器在2013年发布,因其性能和成本...
dss.rar_dss_逆向_逆向 导航_逆向分析_逆向导航
09-21
4. **静态分析工具**:如PEiD、VirusTotal等,能帮助识别代码特征,检测加密、混淆等反逆向手段。 5. **编程语言和汇编**:逆向分析需要对C/C++、汇编语言有深入理解,因为大部分软件都是用这些语言编写的或编译成...
VC程序的反编译工具depends2.2_x86
04-23
VC程序的反编译工具depends2.2_x86
VC反编译工具(Depends.exe).zip
09-13
VC反编译工具(Depends.exe),用于查看以及分析动态库dll的依赖项以及里面包含的函数名和变量的情况。 LoadLibrary和GetProcAddress等函数出错的时候经常用大这个工具来分析。
dll转ccpvc++反编译工具 支持64位
08-17
64x的dll转ccpvc++反编译工具 aheadlib 亲测可以用
[C++] 反编译器
weixin_30867015的博客
02-09 8363
各种开源的decompiler都不太好用,目前最好的反编译器是IDA pro。虽然是收费的,不过破解版很好找。我试过5.5版本的,还不错。我把windows notepad进行了反编译,多少算有点可读性:/* This file has been generated by the Hex-Rays decompiler. Copyright (c) 2009 Hex-Rays <i...
comboBox网址查询
weixin_42468311的博客
11-22 311
public partial class Form1 : Form { public Form1() { InitializeComponent(); } private bool State = false;//定义一个全局变量标识 private void Frm_Main_Load(object sender, EventArgs e) { cbox_Url.Items.Add("http://www.mingribook.com/");//向ComboBox
c#生成静态库_c#生成的exe文件加密
weixin_39653764的博客
11-21 276
针对C#生成得exe文件加密,需要达到代码不能被反编译得效果。Virbox Protector Standalone 加壳工具主界面如图:开始进行加密直接拖入文件或者选择打开文件的形式,选择需要加密exe可执行程序或者dll动态链接库。【特别提醒:如果被加壳程序的相同目录下存在 xxx.map 文件,那么会自动加载 map 文件,将函数名称显示在界面当中,目前支持VS、VC、BCD、Delphi编...
反编译工具Depends---dll和exe反编译工具
热门推荐
私_有_云
11-21 1万+
反编译工具Depends 推荐使用比较不错的Depends.exe,分析dll和exe所依赖的dll。可以看到dll以及dll的函数,可以查看导入导出函数,挺好用的。VC++ Depends用来显示与一个可执行文件(exe或者dll)相关的依赖项(dll),以及该exe或dll引用了这些dll中的哪些接口。 Depends Wallker是一个VC反编译工具,可以查看PE模块的导入模块以及导
C++程序员常用工具总结(2016版)
rhrh8744的专栏
02-06 3029
第一篇文章
SpatialSense: 逆向众包驱动的空间关系识别新基准
SpatialSense是一个专注于空间关系识别的基准数据集,由普林斯顿大学的研究团队开发,旨在解决图像中对象间复杂的空间关系理解问题。这一研究领域的重要性在于,视觉理解对于智能体,如自动驾驶、机器人导航和物体...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值