-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-02-16
- 在线时间18416小时
-
- 发帖770868
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511641
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770868
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511641
- 信誉值
- 8
|
上回已经分析了基本。现在针对关键call进行一个分析。对wannacry的简单分析 by cqr2287http://www.52pojie.cn/thread-609670-1-1.html(出处: 吾爱破解论坛)首先下段,断下后单步跟踪。此处采用nop,因为下面是关键,跳过关键肯定不对。首先使用sprintf把%08x推入缓冲区,然后用fopen检测是否存在。而此时%08x是00000000,故是00000000.dky。一样的道理。这里改为nop。因为我本地没有这个文件。上文便是对%08x的分析。下面的内容就跟上一篇文章的第四部分一样了。我就直接写步骤,不解释了。此处为jmp我一会尝试看看能不能写出补丁
|