社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 13阅读
  • 0回复

[分享]某绒面试题_勒索病毒分析

 楼层直达
z3960 
级别: FLY版主
发帖
842257
飞翔币
121261
威望
325882
飞扬币
3795105
信誉值
8
只看楼主 更多操作 0 发表于: 9小时前
病毒样本如要运行请在测试环境运行(虚拟机中 并做好快照)[font=-apple-system, BlinkMacSystemFont, &quot]观看顺序     1. main.asm配合sample.idb     2. sample_dumpsample_dump02.idb[font=-apple-system, BlinkMacSystemFont, &quot]1.main.asm内容简介(sample.idb[font=-apple-system, BlinkMacSystemFont, &quot]    main.asm是我从sample.idb中提取的主要逻辑。[font=-apple-system, BlinkMacSystemFont, &quot]    main.asm每一行指令上面的注释都给出了地址如果想去IDA[font=-apple-system, BlinkMacSystemFont, &quot]中看我分析的流程可以通过这个去看  [font=-apple-system, BlinkMacSystemFont, &quot]    代码膨胀问题:只看代码的第一行,然后找到后面jmp每次只有一行代码。[font=-apple-system, BlinkMacSystemFont, &quot]     3函数声明[font=-apple-system, BlinkMacSystemFont, &quot]       MAIN proto      ;加载3个函数[font=-apple-system, BlinkMacSystemFont, &quot]       REAL_MAIN proto     ;跳到sub_401400[font=-apple-system, BlinkMacSystemFont, &quot]       fn_GetKnl32FuncByHash proto;REAL_MAIN 函数[font=-apple-system, BlinkMacSystemFont, &quot]是跳到主要逻辑的。[font=-apple-system, BlinkMacSystemFont, &quot]2. sample_dump02.ex_路径[font=-apple-system, BlinkMacSystemFont, &quot] sample_dumpsample_dump02.ex_[font=-apple-system, BlinkMacSystemFont, &quot]    sample_dump02.ex_ 文件是动态调试时dump下来的文件(仅用于分析[size=; font-size: 10.5pt,10.5pt])。路径[font=-apple-system, BlinkMacSystemFont, &quot] sample_dumpsample_dump02.idb静态分析的IDA文件路径[font=-apple-system, BlinkMacSystemFont, &quot] sample_dumpfile_gen.zip释放的第一个文件[font=-apple-system, BlinkMacSystemFont, &quot] 有释放时栈结构的记录(第一个文件被执行前的堆栈.txt[font=-apple-system, BlinkMacSystemFont, &quot]  请打开IDA,查看我标记fn_main2[font=-apple-system, BlinkMacSystemFont, &quot]的函数,以流程图视角很快可以跟到一个动态修改代码达到反调试的代码。分析全部在IDA里这里就不复制出来了。[font=-apple-system, BlinkMacSystemFont, &quot]     *这里大概debug下:下不对断点回让程序一直sleep而且占用cpu[font=-apple-system, BlinkMacSystemFont, &quot]     本次分析,就到这个反调试结束,过这个调试应该也只是时间问题。([font=-apple-system, BlinkMacSystemFont, &quot]病毒分析到底是行为分析还是代码还原呢?有人告诉我下吗?[font=-apple-system, BlinkMacSystemFont, &quot])继续分析的话我可能会从这个dump给出的导入表函数入手,IDA中可以查看DUMP文件的导入表,这些函数地址存在一个连续的地址空间中。[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    完全逆向出这个病毒,可能需要花费一些时间。[font=-apple-system, BlinkMacSystemFont, &quot]3. 加密逻辑[font=-apple-system, BlinkMacSystemFont, &quot]并没有去找它的加密逻辑。[font=-apple-system, BlinkMacSystemFont, &quot]    从现象看,流程如下   1. 提取图标生成[font=-apple-system, BlinkMacSystemFont, &quot] xxx.ico   2. [font=-apple-system, BlinkMacSystemFont, &quot]感染文档文件   3. [font=-apple-system, BlinkMacSystemFont, &quot]把感染后的文件修改图标   4. [font=-apple-system, BlinkMacSystemFont, &quot]它会一直修改文件夹选项设置。   5. 至于控制鼠标点击和键盘输入,我给出的实现方式是SetWindowsHookEx这类的函数[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]4. 一些调试过程中的文件[font=-apple-system, BlinkMacSystemFont, &quot]有兴趣自行查看[font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot] sample_infected.zip (422.93 KB, 下载次数: 20) 分析结果.zip (2.86 MB, 下载次数: 25)

相关话题

分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
发帖 回复
« 返回列表