ransomware(假的勒索病毒)逆向分析

最新推荐文章于 2024-08-17 01:03:53 发布
最新推荐文章于 2024-08-17 01:03:53 发布
阅读量2.7k 收藏 4
点赞数 2
分类专栏: 我的逆向之路 我的CTF之路 我的CTF进阶之路 文章标签: ransomware逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangshangbashaonian/article/details/81949490
版权
本文详细介绍了对一个假的ransomware样本进行逆向分析的过程,通过PEiD查壳发现无壳,运行后观察到只有一个输入框和解密按钮。通过API断点定位关键代码,使用Olydbg和IDA进一步分析,揭示了程序判断输入与18相等的条件,并找到解密关键地址00AE12A3。通过异或操作,提取出flag为{1_dO_n0t_wAnna_cry}。
摘要由CSDN通过智能技术生成

 

0x01:PEiD查壳 无壳  运行之后也没中毒 无毒

0x02: 运行一下看看  可用的只有一个输入框和一个按钮(Decrypt)

这里可以通过Restorator进行分析

随意输入123456789   点击Decrypt    弹出对话框

看到关键点   

一个是触发的MessageBox   (通过下API断点)

一个是关键字符串  Wrong,The password is error

两种方法都可以定位到关键代码      (通过搜索ASCII字符串)

下边采用API断点进行定位

最低0.47元/天 解锁文章
iqiqiya
关注
专栏目录
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
杨秀璋的专栏
04-27 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了宏病毒相关知识,包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
【reversing.kr逆向之旅】Ransomware的writeup
iqiqiya的博客
11-15 634
Exeinfope查到有UPX壳 先使用脱壳机进行脱壳 脱壳后载入IDA   发现直接显示太大无法展示 空格转为文本视图  可以很明显知道  下面红框中的就是一段段花指令 查看最后结束的位置   就在0x0044A775 直接IDC脚本将他们都NOP掉 auto i,start = 0x004135E9,end = 0x0044A775; for(i=start;i&...
白客对勒索病毒逆向分析
程序IT圈
07-02 488
样本分析准备基础知识:1.需要具备一定的开发能力2.熟悉汇编语言3.PE文件结构的掌握工具使用:熟练掌握以下常用工具的功能,基于以下工具展开详细分析,可以对病毒样本进行一个详细流程和功能分...
应急响应:勒索病毒-实战 案例一.【Windows 系统-排查和解密】
最新发布
网络安全领域___专研者.
08-17 1128
勒索病毒是一种恶意软件,它通过加密用户的数据或锁定用户设备,然后要求用户支付赎金以解锁数据或系统。勒索病毒的入侵方式多样,包括网络共享文件、捆绑传播、垃圾邮件、水坑攻击、软件供应链传播、暴力破解、利用已知漏洞攻击和利用高危端口攻击等。
170929 逆向-Reversing.krRansomware
whklhhhh的博客
09-29 810
1625-5 王子昂 总结《2017年9月29日》 【连续第362天总结】 A. Reversing.kr-Ransomware B. Ransomwarereadme提示解密文件,运行一堆乱码,估计可能是韩文吧 查壳发现有UPX 用ESP定律手脱下来以后拖入IDA发现main函数块巨大,反编译会一直等待 拖入OD进行跟踪,发现在exit前,位于44ab75的call会飞 跟进去以后是
勒索样本的逆向实践。
深耕安全技术研究
07-09 382
链接: 对勒索病毒样本分析.
73.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读_网络_杨秀璋的专栏-CSDN博客1
08-03
此外,掌握逆向分析和网络安全工具的使用,也是提高防御能力的关键。 参考文献: 1. GitHub相关资源:https://github.com/eastmountyxz/Software-Security-Course 2. WannaCry分析项目:...
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8682
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
热门推荐
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
【应急响应】Windows应急响应手册(勒索病毒篇)
做自己喜欢的事,并将其发挥到极致!
07-19 140
本篇内容围绕勒索病毒事件进行分析,通过使用技术手段来确定勒索病毒家族并寻找解密方法,实战中过程中可参考文中部分内容提供一些帮助!
一款勒索病毒的详细分析
weixin_34306676的博客
10-26 371
原文出自看雪论坛:[原创]一款勒索病毒的详细分析-『软件逆向』-看雪安全论坛 0×01 程序信息 大小:2,132,992 字节 MD5:671ec2f2b246113f65a0afd1c53c5c3b 壳:UPX 0.89.6 - 1.02 / 1.05 - 2.90 编写语言:易语言 0×02 程序行为 开机自启 修改浏览器信息 禁用UAC 进...
DarkAngels勒索病毒分析
weixin_43781139的博客
10-11 1643
对DaekAngle勒索病毒逆向分析
CTF | Reverse 病毒分析
qq_42646885的博客
07-22 1099
题目描述: 某日,一小学生弄了个U盘到打印店打印文件,U盘往计算机上一插,发现机子死机了,高明的打印店老板为了防止此类事件,特意设置了霸王键,可一键备份,随后老板把U盘备份了交给小王,小王想要知道U盘里到底被感染了什么你能帮帮他吗? 主机C:\Reverse\8目录下提供了这个UP_BOOT.img文件,请对该文件进行逆向分析,找到题目过关的Flag。 实验步骤: ...
Reversing.kr-Ransomware
宗泽的博客
08-07 409
打开后,发现是乱码,这是个悲伤的故事。。 再查一下壳,有壳, 直接上脱壳机,可以把壳给脱掉, 接着放进IDA里,发现还不太行,F5不管用了,ida提示文件太大,没法反汇编。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190807164903278.png 仔细看一下主函数,有大量的无用的代码,花指令。直接写IDC脚本给nop掉,结果还是不行,再找找...
[OtterCTF 2018] 电子取证
qq_61768489的博客
08-14 881
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
应急响应学习
goddemon
02-05 924
windows检测 ①检测账号 1.windows中直接分析 开 cmd 窗口,输入 lusrmgr.msc 命令进行查看有无可疑的账号 2.日志方法进行分析 “eventvwr.msc #事件查看器,且导出出Windows日志--安全 #利用Log Parser进行分析 典型命令 1、查询登录成功的事件 登录成功的所有事件 LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:Security.evtx where EventID=4624" 指定
ID Ransomware帮你识别到底中了什么勒索软件
weixin_33727510的博客
07-03 464
随着勒索软件越来越猖獗,中招的用户和机构也越来越多。一个全新的名为ID Ransomware的站点应运而生,他能够帮助受害者识别出所感染的勒索软件到底属于什么家族的勒索软件,可以具体到该家族的何种分支,何种衍生版本, 尽管不能帮你解锁加密文件,但通过它做到“知己知彼”,才能有的放矢 网站座右铭“Knowing is half the battle” ID...
Ransomware勒索病毒
06-12
Ransomware勒索软件)是一种恶意软件,通过加密或锁定受害者的数据来实施勒索勒索软件通常通过电子邮件、短信、社交媒体或恶意网站等方式进行传播,一旦感染了受害者的计算机系统,就会将受害者的文件加密或锁定...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值