python勒索病毒代码_勒索病毒GandCrab-v5.04完整分析

最新推荐文章于 2024-06-18 13:20:50 发布
最新推荐文章于 2024-06-18 13:20:50 发布
阅读量3.3k 收藏 7
点赞数 1
文章标签: python勒索病毒代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42500477/article/details/113508324
版权

原程序分析

基本文件信息

ExeInfo 查看文件信息,PE32位且有壳

31c9a395797dc1004c08fa34f82785fb.png

Ollydbg 入口点代码如下

524118da4355ca8bfb7136d27091f647.png

脱壳后

单步跟到OEP,dump内存修复IAT,成功脱壳后用 Die 查看编译语言为 Delphi7

cb7e6583d6eee5f04fd01bf06deaa387.png

IDA 和 OD 的入口代码

069c65c9dd5c42a40d687e69231d6518.png

33695cd88fa64353cb6ecc115fcee8e8.png

反沙箱手段

消息循环

复杂的消息循环,使用了定时器消息,以及自定义 SendMsg,发送大量消息,使程序的运行时间延长

849b106cfc5fc77e5117af83669a3fbd.png

设备上下文

长时间消息循环到达核心代码区,里面又有许多的动态解密函数以及大量的GetDC和GetStockObject,既消耗了一定的时间又消耗了大量的内存资源

16c1a86d14ac0358a5bcbc7842026a34.png

2ea2c23815407fdc75b6638a24a9caea.png

Sleep

最关键的手段还是一个 Sleep(),Sleep了4分钟

8928f1940b04dfdbdca7afe3c400bd15.png

释放文件

Call下断

程序的很多代码都是动态解密的,不用跟具体的解密过程,直接在 call 跳转时下断即可。如图在释放文件的关键call下断,注意先 Patch 掉之前的 Sleep

2823445b6537f14704512668f1e7deb9.png

OD粗略分析

F7 跟过去分析,发现先是获取了一些 API,然后创建一个进程,再是写入数据到子进程

5ed0b1f55792ae28f6d456c99f024f00.png

7d62c439967bc841871c58b3d1d7bb66.png

IDA详细分析

使用ODScript的dma指令dump这段内存,然后IDA打开静态分析!先是GetProcAddress获取多个 API 的地址,然后CreateProcess创建自身路径所在的一个进程,传入CREATE_SUSPENDED使其挂起,利用ZwUnmapViewOfSection卸载原来所有区段以及RtlZeroMemory将内存区域置0,VirtualAllocEx配合WriteProcessMemory写入新的数据,利用SetThreadContext和ResumeThread修改程序的入口点,且恢复挂起进程运行

最低0.47元/天 解锁文章
全宇宙的三姐
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python模拟勒索病毒
m0_61974571的博客
10-09 3922
代码python模拟勒索病毒
勒索病毒用什么语言写,勒索病毒代码python
Fixf4556的博客
04-01 556
大家好,给大家分享一下python勒索病毒都需要什么工具和材料,很多人还不知道这一点。今天下午上学,用python写个勒索脚本然后打包成exe是个不错的选择。使用sha1算法加密,你其实还可以自己写个解密脚本。看那学校我就不想上学。后续其实可以加一个msf生成的马子。print('[+]加密完成')要用到的模块,各位请自行准备。万事俱备,只欠东风。#批量读取文件并加密。
python简单的病毒编程代码,如何用python做恶搞病毒
最新发布
2401_85778529的博客
06-18 355
在open方法的后面有一个‘w’,w决定了打开文件的模式为:写入 r:以只读方式打开文件;r+:打开文件用于读写,指针位于文件的开头;w+:打开文件用于读写,如果文件存在则打开文件,将原有内容删除;a:打开文件用于追加,指针放在文件末尾,新写入的内容会接在已有内容后面;a+:打开一个文件用于读写,如果文件存在,则追加模式;在上述例子中,还用到了另一种方法: if .exists(‘C:\Users\shen\Desktop\pythonworkfile\’): 这个方法可以判断具体的文件的存在。
python简单病毒代码
2302_76672693的博客
10-20 1617
python简单病毒代码
python写恶搞病毒
m0_55410737的博客
01-18 1万+
hello,我是粽子。在在几天前…哦,不是几周前,我用python写了个恶搞病毒。 不过其实也称不上是病毒,只能说是恶搞程序,因为在任务管理器或者关机重启,就可以关闭程序。因此,并不会对计算机造成任何的影响,当然,你也可以做一些修改,比如说增添一个把文件全删了的功能,再比如说……… 你也可以打包成exe文件,来整蛊一下你的"好朋友" 代码如下: import tkinter#ui库,弹窗用的就这个库 import tkinter.messagebox#与上面同理也是ui库 import ran..
python 遍历目录下所有文件
qq_35699528的博客
12-06 380
def all_path(dirname): result = []#所有的文件 for maindir, subdir, file_name_list in os.walk(dirname): print("1:",maindir) #当前主目录 print("2:",subdir) #当前主目录下的所有目录 print("...
python 勒索病毒 源码_python生成的exe被360识别为勒索病毒原因及解决方法
weixin_39730911的博客
12-09 1789
代码如下,使用了os库遍历文件夹,还有判断指定路径是文件还是文件夹。换成了pathlib库来实现我需要的功能,问题解决。import osdef adjust_os(path):'''使用:os模块作用:遍历指定文件夹下所有的xls脚本'''f_list = os.listdir(path)for l_i in f_list:path_new = path + "" + l_i;if(os...
金融达大屏控制软件NEWKD7200-V5.04-WallControl
08-06
金融达大屏控制软件NEWKD7200-V5.04-WallControl是一款专为金融行业设计的专业级大屏幕控制系统。这款软件的核心目标是提供高效、稳定且易用的解决方案,帮助用户管理和展示金融市场的实时数据、图表、新闻和其他...
GandCrab v5.0.x 那些事儿——行为分析、免疫与救援须知
11-29
GandCrab v5.0.x 那些事儿——行为分析、免疫与救援须知
FastDFS_v5.04.tar.gz
02-23
在本文中,我们将深入探讨FastDFS的核心特性、工作原理以及如何在Linux系统上安装和配置FastDFS v5.04。 1. **核心特性** - 分布式:FastDFS将文件分散存储在不同的服务器上,提供高可用性和负载均衡。 - 高性能...
WannaCry:勒索病毒WannaCry反编译
03-23
勒索病毒WannaCry反编译源码 勒索病毒WannaCry通过高危入侵“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国,英国,中国,俄罗斯,西班牙,意大利,越南等百余个国家均遭受大规模攻击。 病毒名称(Virus Name):WannaCrypt,WannaCry,WanaCrypt0r,WCrypt,WCRY 加密文件类型(它要加密的文件类型是): .doc,.docx,.xls,.xlsx,.ppt,.pptx,.pst,.ost,.msg,.eml,.vsd,.vsdx,.txt,.csv,.rtf,.123和.wks ,.wk1,.pdf,.dwg,.onetoc2,.snt,.jpeg,.jpg,.docb,.docm,.dot,.dotm,.dotx,.xlsm,.xlsb,.xlw,.xlt 、. xlm,.xlc,.xltx,.xltm,.pptm
大虾网超好的串口调试工具-sscom5.04a.rar-大虾网超好的串口工具-sscom5.04a.rar
09-03
这个特性对于测试设备的响应速度、数据完整性和稳定性至关重要。 在高级功能方面,SSCOM5.04a支持脚本编程。用户可以通过内置的脚本语言编写自定义的通信程序,实现自动化测试和复杂的数据交互,大大提高了工作效率...
Q-Dir V5.04绿色版(资源管理工具)
04-06
Q-dir 是一款非常独特的资源管理器,特别适用于频繁在各个目录间跳跃复制粘贴的情况,因为,它有 4 个窗口!每个窗口都可以方便的切换目录,以不同颜色区分不同类型的文件,各窗口之间可以方便的拖放操作互相的文件...
勒索病毒c语言源代码,勒索病毒原理解析
weixin_35355756的博客
05-22 5830
一、编程思路什么是勒索病毒:遍历你电脑上所有文件,并且用加密算法加密,然后把加密秘钥发送到自己邮箱里,弹出窗口。工具:操作系统API,加密算法思路:1.程序设计 思路规划清楚1.1 加密单个文件1.2 遍历文件系统并加密文件2.工程实现: 编程3.测试上线 :、测试欢迎加入学习群【892643663】,获取全套免费C/C++企业实战级课程资源(素材+源码+视频)和编译大礼包二、代码解析//文件遍...
[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
热门推荐
杨秀璋的专栏
02-27 1万+
作者前文介绍了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助,漫漫长征路,偏向虎山行。享受过程,一起加油~
Python实现简易勒索病毒
dzqxwzoe的博客
03-04 611
代码若加密单独文件夹下的文件或者加密少量文件效率还可以,但是如果加密整个大的服务器系统可能会导致卡死。我觉得解决办法可以是使用多线程,python中的threading进行多线程加密。同时可能存在当前用户权限不够导致文件无法加密的情况,这个问题目前还没想到解决办法,以后有时间再来研究一下。但此demo加密一些普通文件夹还是没有问题的,主要是了解一下勒索病毒的原理以及一些常用的加密算法。欢迎各路大佬留下评论交流!
python勒索病毒代码_.Lucky后缀勒索病毒数据解密(示例代码)
weixin_31440583的博客
01-29 2268
近日,勒索病毒.lucky加密后缀,是新的勒索病毒变种,其传播模块复用了Satan的传播方式,实现了Linux下的自动化传播,我们将其命名为lucky勒索病毒。***流程:传播模块:conn与Satan的传播模块一致,跟Windows版本一样,主要利用以下漏洞进行***:1.JBoss反序列化漏洞(CVE-2013-4810)2.JBoss默认配置漏洞(CVE-2010-0738)3.Tomcat...
arm rvct 5.04 build 5040082
01-23
ARM RVCT 5.04 是一款ARM架构的编译器工具套件,第5040082版本是其具体的构建版本号。 RVCT(RealView Compiler Tools)是由ARM公司开发的一套完整的软件开发工具,旨在帮助开发者创建和调试ARM架构的嵌入式软件。RVCT包含一套优化的编译器、调试器、开发环境以及相关辅助工具等。 版本号5040082代表了这个RVCT的特定版本。版本号的不同通常代表了软件在功能上或性能上的改进或修复。具体对于ARM RVCT 5.04 build 5040082而言,该版本的改进和修复内容可能需要查阅该版本的发布说明或相关文档才能确定。 RVCT的5.04版本是较为旧的版本,更新版本的RVCT可能已经发布。较新的版本通常包含了对最新ARM架构的支持、编译器优化等改进。因此,在选择使用RVCT时,开发者应该权衡不同版本的功能和性能,并根据自己的需求做出选择。 总之,ARM RVCT 5.04 build 5040082是ARM架构的编译器工具套件RVCT的一个特定版本,具体的改进和修复内容需要查阅相关文档来了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值