百度360必应搜狗淘宝本站头条
ug5 0软件免费下载右键菜单清理flac文件grub4doss spline
当前位置:网站首页 > 技术文章 > 正文

对勒索病毒的逆向分析(对勒索病毒的逆向分析是)

cac55 2024-10-19 02:58 26 浏览 0 评论

样本分析准备


基础知识:

1.需要具备一定的开发能力

2.熟悉汇编语言

3.PE文件结构的掌握


工具使用:

熟练掌握以下常用工具的功能,基于以下工具展开详细分析,可以对病毒样本进行一个详细流程和功能分析,从而分析还原出关键的病毒功能,及研究对应的对抗方案。






样本分析流程



对一个病毒样本或者软件详细分析,一般可以通过五个步骤进行分析样本功能:样本基本属性、样本结构、样本静态分析、样本功能行为监控、样本动态分析。基于以上的五个步骤基本上可以分析出详细的样本功能实现。


样本基本信息



通过PEID、ExeInfoPE工具分析出样本的几个基本属性。

通过Hasher工具可以分析出样本的MD5、sha1、CRC32的属性值。


PEID、ExeInfoPE两个工具原理:

通过解析PE文件结构解析出样本的区段信息、通过匹配征码方式匹配出样本是否加壳、加什么壳,样本开发语言和开发工具。




样本功能分析


病毒样本功能可以从几个维度分析:自启动(服务器,注册表)、释放文件、网络通信、加密解密

主要通过静态IDA分析和动态ollydbg分析相结合,通过IDA分析出样本中的流程结构(也重点关注下导入表信息,字符串信息),然后再针对每个函数进行分析,函数中的参数传递和返回值信息通过ollydbg工具附加下断点进行动态调试分析。


以下流程图是整个病毒样本的功能流程,主要就是进行系统服务操作,利用微软的SMB漏洞进行445端口漏洞的尝试、释放真正的勒索病毒样本。



样本在IDA工具中的main函数的流程结构


样本入口函数的关键功能函数实现的解析


恶意代码功能解析



开始对445端口漏洞尝试功能解析



进行内网445端口漏洞尝试功能实现解析



进行外网445端口漏洞尝试功能实现解析



漏洞尝试的效果展示



释放真正的勒索病毒文件

通过从应用程序的资源部分进行释放出病毒样本exe和dll模块,并将样本的exe和dll模块释放到C盘的windows目录下,以伪装成为系统程序。



释放样本文件效果展示

通过procmon工具,并进行针对病毒样本进程进行监控,可以实际监控到样本释放文件的操作。





释放勒索病毒功能梳理



释放出来的样本在IDA中展示main函数的流程结构(直接用拖入方式即可)



样本main函数流程中的关键函数进行解析



样本中将比特币账号采用硬编码方式直接写在代码中




采用微软的加解密算法,通过调用系统CryptDecrypt和CryptDecrypt函数用于进行加解密ZIP文件。




动态释放模块进行判断释放出来的文件是否是标准PE文件(判断PE文件的DOS头部分“MZ”,在进行判断NT头的PE签名信息“PE”)



勒索病毒对以下所有后缀文件进行加密,这些后缀文件基本覆盖所有类型的文件。



(仅分享样本大概功能流程,还有如核心的加解密算法相关的功能没有进行分析)


对勒索病毒的一点思考


1.预防中病毒通用方案

  1. 在系统上安装病毒查杀软件并及时更新病毒特征库并定时查杀(建议安装火绒)。
  2. 从互联网上下载的文件、程序进行查看数字签名有效性,并手动扫描查询文件。
  3. 使用移动存储介质时,进行查杀病毒后再进行打开。
  4. 不随意打开、安装陌生或来路不明的软件。

2.分析勒索病毒

  1. 断网的虚拟机环境
  2. PE文件解析工具进行静态PE文件分析。
  3. IDA静态流程和ollydbg动态流程分析。

3.勒索病毒预防解决方案

  1. 主动关闭系统中135、137、139、445端口。
  2. 创建一个互斥体名称为Global\\MsWinZonesCacheCounterMutexA,让勒索病毒程序 启动不起来(仅功能的对抗思路)。
  3. 及时更新系统补丁程序。
  4. 定期备份重要的数据在不同位置(网盘、移动硬盘)。

相关推荐

正点原子开拓者FPGA开发板资料连载第四十章 SD卡图片显示实验

1)实验平台:正点原子开拓者FPGA开发板2)摘自《开拓者FPGA开发指南》关注官方微信号公众号,获取更多资料:正点原子3)全套实验源码+手册+视频下载地址:http://www.openedv.c...

东芝存储改名为铠侠了,铠侠microSD卡128GB全网首测

作为一个数码爱好者,平时总爱把玩各种科技数码产品,最近又迷上了口袋云台相机,大疆OsmoPocket、飞宇口袋相机、SnoppaVmate口袋相机什么的,不过这类产品由于设计的机身体积很小(毕竟为...

SD存储卡卡面上奇奇怪怪的图标,你知道几个?

现在对高像素照片、连拍、4K甚至8K的需求越来越多,对存储卡的传输速度、容量等,要求也越来越多了。但是,看到SD存储卡卡面上奇奇怪怪的图标,让人非常迷惑。这篇文章让你简单认识这些图标和奇奇怪怪的数字。...

拍摄4K视频上选!铠侠 EXCERIA PLUS microSD卡

大家好,我是波导终结者。今天跟大家分享的是铠侠的EXCERIAPLUS极至光速microSDXCUHS-1存储卡,名字有点长,但是不用担心,我会帮大家梳理好存储卡的选购建议。有不少刚入门的朋友...

高速稳定,一卡多用:铠侠极至光速microSD存储卡评测

Hello,大家好,我是小胖子。半个月前收到了KIOXIA铠侠寄来的一张256GB的TF卡,用了大半个月,让我们看看这款产品表现如何吧。其实很多人并不太了解铠侠,问我铠侠是什么品牌,好不好。其实,东芝...

读速205MB/s、V30规格,雷克沙SILVER系列存储卡再添新成员

IT之家6月19日消息,雷克沙今日推出3款SILVER系列SD/microSD存储卡新品,支持4K60fps录像。据介绍,该系列存储卡均符合V30标准,其中micr...

相机、无人机拍视频,选择SD存储卡有什么需要知道的?

本文章不涉及产品推荐导购行为,致力于给到小白带来基础知识。相机一般使用SD卡,无人机一般使用microSD卡(也叫TF卡),使用的标准和图标标识是一样的。相机、无人机拍视频,选择SD存储卡有什么需要知...

PNY推出适用Switch 2的microSD Express卡,读取速度高达890MB/s

任天堂Switch2开始预订,其比前代产品变得更加昂贵,各种配件的价格都高于预期,这也包括转向microSDExpress存储。此时,PNY推出了新款microSDExpress闪存卡。新款mi...

SD卡迎来25周年:全球售出120亿张,容量翻50万倍

IT之家5月21日消息,科技媒体betanews今天(5月21日)发布博文,报道称SD卡迎来了25周年的生日。自2000年首款SD存储卡问世以来,已走过25个年头...

微单相机买一款什么样的SD卡才够用?写入速度更为关键

最近,评价君朋友发现自己的卡拍摄视频时候总断流,于是感觉写入速度应该是不够的,打算换卡,评价君正好跟他说道说道。目前的SD存储卡,很多只标注读取速度,比如95MB/s,80MB/s等等,而没有写写入速...

金士顿Canvas Go!Plus 系列存储卡评测

前言2020年,金士顿推出了CanvasGo!Plus系列存储卡,凭借其优秀的读写速度和稳定性获得了广大用户的认可。时隔5年,金士顿推出了其全新升级产品:SDG4/SDCG4,可选容量覆盖64GB...

TF卡速度等级|MK米客方德(tf卡速度等级图)

TF卡(TransFlash卡,又称MicroSD卡)是一种常见的便携式存储媒体,广泛用于智能手机、相机、平板电脑等设备中。TF卡的性能通常由速度等级来衡量,这些等级反映了TF卡的数据传输速度。拓优星...

关于SD卡,看这张表就够了(sd卡的作用)

这里是溢图科技(原“相机笔记”)。这两天有不少存储产品促销,随之而来的就是关于SD卡的一些提问。文章以前已经写过很多了,这里主要给大家看一张表格:上面就是SD卡协会官方制作的“族谱”,明确给出了不同版...

轻量化储存的首选——凯侠极致光速256G microSD存储卡实测

对于摄影师而言,我们经常会接触到相关存储设备,像照片拍摄中给相机安装的SD卡,视频录制中外录高规格画面的SSD等,都属于专业的存储介质,被应用于商业拍摄、电影级别拍摄之中。而针对生活中我们日常用于拍摄...

首发1569元,读取速度可达250MB/s,闪迪推出最新2TB至尊超极速存储卡

近日,闪迪(SanDisk)正式发布了其最新的2TB至尊超极速microSDXCUHS-I存储卡。据悉,这款存储卡的读取速度可达250MB/s,写入速度则达到150MB/s。这意味着用户在处理高分辨...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表