Wannacry病毒分析
Wannacry病毒分析
在活了,之前有幸听过奇安信的招聘会,⼤佬说,Wannacry病毒现在还在某些地⽅流⾏着,是经典的病毒。这让我觉得分析这个病毒是刷经验的好机会,所以就在决定分析⼀下这个在2017年的纵横江湖⽆敌⼿的之王,由于是新⼿⼊坑,不对之处还请多多指教(●ˇ∀ˇ●)
病毒简介: 该病毒亦称 “永恒之蓝”,它利⽤Windows系统的SMB漏洞可以获取系统最⾼权限。骇客通过改造“永恒之蓝”制作了wannacry病毒,英国、俄罗斯、整个欧洲以及中国国内多个⾼校校内⽹、⼤型企业内⽹和政府机构专⽹中招,被⽀付⾼额赎⾦才能解密恢复⽂件。
⽽该病毒分为蠕⾍传播部分和病毒部分,在这我只分析了病毒Wannacry部分,由于是⾃⼰分析学习,所以我就尽量解释详细⼀点。下⾯开始分析样本。
分析平台:win7虚拟机
分析⼯具:OD、IDA
辅助⼯具:LordPE、PEID、010Editor、⽕绒剑、ResHacker、Hash等
1. 样本概况
⾸先获取到病毒样本然后解压双球开奖是哪个频道
使⽤Hash⼯具查看基本信息01
2. 具体⾏为分析
2.1 主要⾏为流程图
2.2 病毒对⽤户造成的危害
加密了常⽤的⼤多数格式(约100多种)的⽂件,加密成后缀是.WNCRY⽂件,不花钱基本⽆法解密。
2.3 病毒⾏为分析
2.3.1 ⾸先使⽤PEID观察是什么语⾔、编译器、壳
结论是c/c++语⾔编译器是C++6.0写的程序,⽆壳。
西葫芦饼的做法2.3.2 LordPE观察导⼊表
1. ⾸先观察到有加载锁定资源和打开互斥体相关API,猜测有可能是释放资源操作,还有创建互斥体运⾏单⼀实例的常见病毒⾏为操作。
2. 然后还观察到操作服务和注册表相关的API,猜测修改注册表,这基本是病毒必备的了。
2.3.3 使⽤⽕绒剑观察⾏为
1. ⾸先查看执⾏监控,执⾏了隐藏程序、还有cmd和⼀些病毒⾃⼰释放的程序。
2. 查看注册表监控,发现设置了注册表
下优酷视频3. 查看⽂件监控,基本没有⽂件操作,病毒怎么可能没⽂件操作!猜测加密操作应该是在释放的资源中完成的。
4. 查看⾏为监控,⾸先看到释放很多⽂件
望乡歌词还有启动⾃释放的⽂件
名贵树种修改注册表⾃启动项
5. 查看⽹络监控,发现监听了2个端⼝,和连接⼀些随机的IP地址可能是蠕⾍传播⾏为。
3. 详细分析
详细分析主要⽤到OD的动态分析和IDA的静态分析,只有动静结合才能更好更快更轻松的分析病毒。
3.程序分析
到WinMain函数后分析出了最后的⼀览图如下:
云南省委书记高严
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论