溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

WannaRen中怎么逆向勒索病毒

發(fā)布時(shí)間:2021-08-05 16:55:58 來源:億速云 閱讀:141 作者:Leah 欄目:編程語言

WannaRen中怎么逆向勒索病毒,針對(duì)這個(gè)問題,這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答,希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

我們先打開虛擬機(jī):

將wwwlib.dll載入OD中,OD會(huì)提示我們是否要啟動(dòng)LOADDLL,我們選擇是WannaRen中怎么逆向勒索病毒

在下面的Command里面,我們輸入bp CreateFileW,然后敲回車,則對(duì)CreateFileW下好了斷點(diǎn)WannaRen中怎么逆向勒索病毒

我們按一下F9,則斷點(diǎn)會(huì)斷在CreateFileW處,參數(shù)為C:\users\public\fm,權(quán)限為 GENERIC_WRITEWannaRen中怎么逆向勒索病毒

我們繼續(xù)按F9,可以發(fā)現(xiàn)程序退出了,所以肯定有什么地方漏跑了WannaRen中怎么逆向勒索病毒

沒關(guān)系,我們按Ctrl + F2,重新跑起來WannaRen中怎么逆向勒索病毒

發(fā)現(xiàn)OD直接斷在了CreateFileW處,我們繼續(xù)按F9,直到再次斷在打開fm文件處,此時(shí)權(quán)限已變?yōu)榱薌ENERIC_READ,證明有些函數(shù)已經(jīng)判斷過這個(gè)文件是否存在了,我們現(xiàn)在用文本文檔打開這個(gè)fm,看看里面寫入了什么WannaRen中怎么逆向勒索病毒

可以肯定的是,第一次啟動(dòng)wwwlib.dll的時(shí)間,那么再次讀取做了什么呢?我們可以大膽的猜測是作者的延遲運(yùn)行的功能,我們?yōu)榱藦U掉這個(gè)功能,刪除掉這個(gè)文件就可以了。繼續(xù)按F9,發(fā)現(xiàn)我們的程序的下一個(gè)斷點(diǎn)的參數(shù)是 C:\users\public\you,權(quán)限是GENERIC_READ,很好,終于進(jìn)入正題了WannaRen中怎么逆向勒索病毒

我們拷貝一份下載的you,放入該位置,并對(duì)ReadFile下斷點(diǎn),命令是 bp ReadFileWannaRen中怎么逆向勒索病毒WannaRen中怎么逆向勒索病毒我們繼續(xù)按F9,發(fā)現(xiàn)我們的斷點(diǎn)斷在了ReadFile,我們右擊參數(shù)bufferWannaRen中怎么逆向勒索病毒

選擇數(shù)據(jù)窗口跟隨WannaRen中怎么逆向勒索病毒WannaRen中怎么逆向勒索病毒

我們按Ctrl + F9WannaRen中怎么逆向勒索病毒

斷在了ReadFile執(zhí)行完畢的位置,發(fā)現(xiàn)內(nèi)容已經(jīng)讀取完畢了,我們在內(nèi)容處下斷點(diǎn),選中四個(gè)字節(jié),右擊→斷點(diǎn)→硬件訪問→DWORD   右擊→斷點(diǎn)→硬件寫入→DWORDWannaRen中怎么逆向勒索病毒

我們按F9,繼續(xù)執(zhí)行,斷在非代碼段上面WannaRen中怎么逆向勒索病毒我們按Ctrl + A 重新讓OD分析一下WannaRen中怎么逆向勒索病毒

我們發(fā)現(xiàn)在2992偏移處,讀取了我們剛剛從you文件讀取中的數(shù)據(jù),經(jīng)過處理,最后放入ebx中,ebx的值為[local.11]的值,我們多次按F8單步到ebx再次賦完值WannaRen中怎么逆向勒索病毒

右擊ebx,數(shù)據(jù)窗口跟隨    

WannaRen中怎么逆向勒索病毒

再次按F8,發(fā)現(xiàn)數(shù)據(jù)已經(jīng)寫入    

我們觀察,在29BB處為長跳轉(zhuǎn),并循環(huán)執(zhí)行之前的代碼,所以可以斷定是通過該處函數(shù)將you里面的內(nèi)容解碼出來的,并寫入該處內(nèi)存地址。

我們鼠標(biāo)點(diǎn)擊29C0,按一下F2,對(duì)該處下斷點(diǎn)

WannaRen中怎么逆向勒索病毒我們?nèi)∠粲布帱c(diǎn),點(diǎn)擊調(diào)試→硬件斷點(diǎn)    
WannaRen中怎么逆向勒索病毒

將兩個(gè)硬件斷點(diǎn)全部刪掉,并點(diǎn)擊確認(rèn)

我們繼續(xù)按F9

WannaRen中怎么逆向勒索病毒WannaRen中怎么逆向勒索病毒我們發(fā)現(xiàn)數(shù)據(jù)已經(jīng)完全解密出來了,對(duì)于一個(gè)EXE文件,頭兩個(gè)字節(jié)必然是MZ,而且還有對(duì)應(yīng)的字符串特征,所以,斷定,這是一個(gè)exe,我們將該文件dump下來,右擊數(shù)據(jù)→備份→保存數(shù)據(jù)到文件    WannaRen中怎么逆向勒索病毒

這里我們命名為_03090000.memWannaRen中怎么逆向勒索病毒

我們使用C32Asm的16進(jìn)制編輯模式打開保存的該mem文件,因?yàn)槲覀兊臄?shù)據(jù)是從0x28開始的,所以我們還需要將之前的內(nèi)容刪掉WannaRen中怎么逆向勒索病毒

WannaRen中怎么逆向勒索病毒選中后,按Delete,點(diǎn)擊文件,保存WannaRen中怎么逆向勒索病毒

我們將_03090000.mem后綴改為exe,即可以發(fā)現(xiàn)它變成了一個(gè)正常的可運(yùn)行的易語言程序WannaRen中怎么逆向勒索病毒

我們測試一下,右擊管理員權(quán)限運(yùn)行,打開任務(wù)管理器,發(fā)現(xiàn)它正在占用cpu正在加密WannaRen中怎么逆向勒索病毒經(jīng)過一段時(shí)間的等待,我們的文件已經(jīng)被加密掉,所以,驗(yàn)證了該文件即為勒索病毒加密本體WannaRen中怎么逆向勒索病毒

安裝360安全衛(wèi)士后,點(diǎn)擊功能大全→數(shù)據(jù)安全→解密大師,即可掃描一鍵解密WannaRen中怎么逆向勒索病毒WannaRen中怎么逆向勒索病毒我們點(diǎn)擊下面的目錄打開解密后的目錄WannaRen中怎么逆向勒索病毒

關(guān)于WannaRen中怎么逆向勒索病毒問題的解答就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI