spora分析過(guò)程的產(chǎn)生的部分筆記

更詳細(xì)的報(bào)告見(jiàn)360的分析：http://bobao.#/learning/detail/3453.html

注：好坑爹，截了一堆圖，貌似太多，傳不上去。。。。。

只能放文字了。。

一、獲取系統(tǒng)版本信息

1    通過(guò)GetFIleVersionInfoSizeW(),GetFileVersionInfo(),VerQueryValuew()配合使用

獲取文件屬性的信息。主要由VerQueryValuew()第二個(gè)人參數(shù)設(shè)置取出

關(guān)于第二個(gè)參數(shù)：

樣本所指定參數(shù)為”//”

所以取出VS_FIXEDFILEINFO結(jié)構(gòu)

二、獲取卷標(biāo)信息,保存?zhèn)湟院笞鳛榧用苊罔€使用

通過(guò)GetVolumeInfomationw

三、GetProAddress（）獲取RtlComputeCrc32和memset,memcpy三個(gè)函數(shù)的地址

四、獲取命令行，判斷是否攜帶”/u”啟動(dòng)，判斷是否創(chuàng)建互斥量，如果存在則結(jié)束。如果不存在則創(chuàng)建

五、如果帶參數(shù)/u  啟動(dòng)則執(zhí)行系列工作

1 利用wmic刪除卷副影像，禁用開(kāi)機(jī)自動(dòng)修復(fù)

命令解釋?zhuān)?/p>

cmd.exe /c vssadmin.exe delete shadows /all /quiet

以上命令執(zhí)行后系統(tǒng)所有還原點(diǎn)清除

bcdedit.exe /set {"  "default} recoveryenabled no

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures\"

以上命令禁止開(kāi)機(jī)啟動(dòng)修復(fù)

2.  刪除注冊(cè)表鍵值IsShortcut，使普通應(yīng)用程序和數(shù)據(jù)文件快捷方式的小箭頭不顯示

isShortcut使用說(shuō)明

六、 CreateStreamOnHGlobal函數(shù)從指定內(nèi)存創(chuàng)建流對(duì)象。創(chuàng)建成功后獲取驅(qū)動(dòng)器個(gè)數(shù)，遍歷驅(qū)動(dòng)器

使用GetLogicalDrives(),獲取系統(tǒng)存在的邏輯盤(pán)符，這個(gè)結(jié)構(gòu)中的二進(jìn)制位標(biāo)志著存在哪些驅(qū)動(dòng)器。

其中，位0設(shè)為1表示驅(qū)動(dòng)器A:存在于系統(tǒng)中；位1設(shè)為1表示存在B:驅(qū)動(dòng)器；以次類(lèi)推。

GetDriveTypew()獲取邏輯盤(pán)類(lèi)型，下圖為類(lèi)型說(shuō)明。

獲取得到的驅(qū)動(dòng)器類(lèi)型作為下一個(gè)函數(shù)的第二個(gè)參數(shù)傳入

判斷如果驅(qū)動(dòng)器類(lèi)型值為2或3則進(jìn)行下一步操作，即移動(dòng)存儲(chǔ)硬盤(pán)和不可移動(dòng)存儲(chǔ)介質(zhì)。

七、過(guò)濾目錄和指定文件夾

指定過(guò)濾的文件夾windows，progra files ,program files (x86),games

八、過(guò)濾需要加密的文件類(lèi)型

涉及的文件格式有22種

九、CryptAcquireContextW()獲取csp容器，全局存放地址;405EB0,獲取成功則解密一個(gè)key：00405EA8

并導(dǎo)入了解密的key

十、加密文件

十一、通過(guò)刪除:Zone.Identifier文件，清理網(wǎng)絡(luò)第三方下載的元數(shù)據(jù)標(biāo)記。防止被系統(tǒng)不信任文件作出警告。

遍歷磁盤(pán)文件

利用硬盤(pán)序列號(hào)計(jì)算CRC32值

獲取卷盤(pán)序列號(hào)

生成系統(tǒng)文件夾快捷方式

/c explorer.exe \"%s\" & type \"%s\" > \"%%tmp%%\\%s\" & start \"%s\" \"%%tmp%%\\%s\""

利用WNetOpenEnumW,WNetEnumResourcew橫向移動(dòng)。遍歷網(wǎng)絡(luò)資源。

使用SHChangeNotiy通知系統(tǒng)更新文件關(guān)聯(lián)信息。

退出程序

http://blog.csdn.net/wowolook/article/details/8263001

WINSHELLAPI void WINAPI SHChangeNotify(
LONG wEventID, //指定事件類(lèi)型
UINT uFlags, //確定dwItem1和dwItem2作的標(biāo)志
LPCVOID dwItem1,
LPCVOID dwItem2
);
1.wEventId的取值如下：
SHCNE_ASSOCCHANGED:修改文件關(guān)聯(lián)
SHCNE_ATTRIBUTES:改變文件屬性
SHCNE_CREATE:創(chuàng)建新文件
SHCNE_DELETE:刪除文件
SHCNE_DRIVEADD:增加網(wǎng)絡(luò)驅(qū)動(dòng)器
SHCNE_DRIVEADDGUI:通過(guò)GUI增加網(wǎng)絡(luò)驅(qū)動(dòng)器
SHCNE_DRIVEREMOVED:卸載網(wǎng)絡(luò)驅(qū)動(dòng)器
SHCNE_INTERRUPT:將事件作為系統(tǒng)中斷執(zhí)行。
SHCNE_MEDIAINSERTED:安裝可卸載媒體，如CD-ROM
SHCNE_MEDIAREMOVED:卸載可卸載媒體，如CD-ROM
SHCNE_MKDIR:新建目錄
SHCNE_NETSHARE:網(wǎng)絡(luò)上共享資源
SHCNE_NETUNSHARE:網(wǎng)絡(luò)上停止共享資源
SHCNE_RENAMEFOLDER:文件夾改名
SHCNE_RENAMEITEM:文件夾中某項(xiàng)改名
SHCNE_RMDIR:刪除目錄
SHCNE_SERVERDISCONNECT:與網(wǎng)絡(luò)服務(wù)器斷開(kāi)鏈接
SHCNE_UPDATEDIR:更新目錄信息
SHCNE_UPDATEIMAGE:改變系統(tǒng)全局圖像列表中的一個(gè)圖像
SHCNE_UPDATEITEM:改變打印機(jī)或文件的列表
3.該函數(shù)沒(méi)有返回值。
2.uFlags的取值如下：
SHCNF_DWORD: dwItem1和dwItem2是DWORD類(lèi)型值。
SHCNF_FLUSH:清空系統(tǒng)事件緩沖區(qū)，系統(tǒng)處理完給定的事件后才返回
SHCNF_FLUSHNOWAIT:清空系統(tǒng)事件緩沖區(qū)，立即返回
SHCNF_IDLIST:dwItem1和dwItem2為項(xiàng)目標(biāo)識(shí)符列表的地址
SHCNF_PATH:dwItem1和dwItem2為路徑地址
SHCNF_PRINTER:dwItem1和dwItem2為友好打印機(jī)名

無(wú)命令行啟動(dòng)下。

1 獲取句柄和CSP容器，解密硬編碼數(shù)據(jù)其中AESkey

2   將key寫(xiě)入文件

3  查找文件，網(wǎng)絡(luò)資源

4 打開(kāi)勒索網(wǎng)頁(yè)

5 獲取權(quán)限刪除卷副影像和快捷方式圖標(biāo)，權(quán)限不夠時(shí)，使用cmd rundas

6  生成HTML文件copy到其他目錄

0012FEE8         0018F078      UNICODE "\CH04F-A3AHT-XFTZT-OTFFT-HAYYY.HTML"

在許多應(yīng)用中，一個(gè)CSIDL可以與下面的標(biāo)識(shí)之一進(jìn)行組合使用：

CSIDL_FLAG_CREATE($8000)

windows 2000:如果這個(gè)CSIDL所引用的文件夾不存在，則創(chuàng)建這個(gè)文件夾!.

CSIDL_FLAG_DONT_VERIFY($4000)

WINDOWS 2000: 無(wú)論這個(gè)CSIDL所引用的文件夾是否存在都使用它!

CSIDL_ADMINTOOLS($30)

表示當(dāng)前用戶(hù)的“管理工具”系統(tǒng)文件夾

CSIDL_ALTSTARTUP($h2D)

不詳

CSIDL_APPDATA($1A)

表示當(dāng)前用戶(hù)的特定的應(yīng)用程序數(shù)據(jù)存儲(chǔ)文件夾，例如：C:\Documents and Settings\username\Application Data

CSIDL_BITBUCKET($A)

表示回收站

CSIDL_COMMON_ADMINTOOLS($2F)

表示所有用戶(hù)的“管理工具”系統(tǒng)文件夾

CSIDL_COMMON_ALTSTARTUP($1D)

表示所有用戶(hù)的 (只支持WINDOWS NT 系統(tǒng))

CSIDL_COMMON_APPDATA($23)

表示所有用戶(hù)的特定的應(yīng)用程序數(shù)據(jù)存儲(chǔ)文件夾,例如:C:\Documents and Settings\All Users\Application Data

CSIDL_COMMON_DESKTOPDIRECTORY($19)

表示所有用戶(hù)的“桌面”文件夾，例如：C:\Documents and Settings\All Users\Desktop。

CSIDL_COMMON_DOCUMENTS($2E)

表示所有用戶(hù)的“我的文檔”文件夾，例如:C:\Documents and Settings\All Users\Documents

CSIDL_COMMON_FAVORITES($1F)

表示所有用戶(hù)的“我的收藏夾”文件夾。

CSIDL_COMMON_PROGRAMS($17)

表示所有用戶(hù)的“程序”文件夾，例如：C:\Documents and Settings\All Users\Start Menu\Programs

CSIDL_COMMON_STARTMENU($16)

表示所有用戶(hù)的“開(kāi)始菜單”文件夾，例如：C:\Documents and Settings\All Users\Start Menu

CSIDL_COMMON_STARTUP($18)

表示所有用戶(hù)的“啟動(dòng)”文件夾，例如：C:\Documents and Settings\All Users\Start Menu\Programs\Startup

CSIDL_COMMON_TEMPLATES($2D)

表示所有用戶(hù)的“模塊”文件夾，例如：C:\Documents and Settings\All Users\Templates

CSIDL_CONTROLS($3)

表示“控制面板”文件夾

CSIDL_COOKIES($21)

表示當(dāng)前用戶(hù)Internet Explorer的cookie 文件夾，例如：C:\Documents and Settings\username\Cookies

CSIDL_DESKTOP($0)

表示“桌面”虛擬文件夾，包含了計(jì)算機(jī)中的所有內(nèi)容

CSIDL_DESKTOPDIRECTORY($10)

表示當(dāng)前用戶(hù)的“桌面”文件夾，例如：C:\Documents and Settings\username\Desktop

CSIDL_DRIVES($11)

表示“我的電腦”虛擬文件夾，包含了計(jì)算機(jī)中所有的驅(qū)動(dòng)器

CSIDL_FAVORITES($6)

表示當(dāng)前用戶(hù)的“收藏夾”文件夾，例如：C:\Documents and Settings\username\Favorites

CSIDL_FONTS($14)

表示“系統(tǒng)字體”文件夾，例如：C:\WINNT\Fonts

CSIDL_HISTORY($22)

表示Inernet Explorer的“歷史記錄”文件夾

CSIDL_INTERNET($1)

表示Internet的這個(gè)虛擬文件夾

CSIDL_INTERNET_CACHE($20)

表示當(dāng)前用戶(hù)的Internet Explorer的"Cache"文件夾，例如：C:\Documents and Settings\username\Temporary Internet Files

CSIDL_LOCAL_APPDATA($1C)

表示當(dāng)前用戶(hù)的應(yīng)用程序數(shù)據(jù)文件夾，例如：C:\Documents and Settings\username\Local Settings\Application Data

CSIDL_MYMUSIC

表示當(dāng)前用戶(hù)存儲(chǔ)音樂(lè)文件的文件夾，例如：C:\Documents and Settings\User\My Documents\My Music

CSIDL_MYPICTURES($27)

表示當(dāng)前用戶(hù)存儲(chǔ)圖像文件的文件夾，例如：C:\Documents and Settings\username\My Documents\My Pictures

CSIDL_NETHOOD($13)

表示當(dāng)前用戶(hù)存在的網(wǎng)絡(luò)連接的文件夾，例如：C:\Documents and Settings\username\NetHood

CSIDL_NETWORK($12)

表示“網(wǎng)上鄰居”這個(gè)虛擬文件夾

CSIDL_PERSONAL($5)

表示當(dāng)前用戶(hù)的“我的文檔”文件夾，例如：C:\Documents and Settings\username\My Documents

CSIDL_PRINTERS($4)

指向“打印機(jī)”這個(gè)虛擬文件夾

CSIDL_PRINTHOOD($1B)

表示當(dāng)前用戶(hù)存在的網(wǎng)絡(luò)打印機(jī)的虛擬文件夾，例如：C:\Documents and Settings\username\PrintHood

CSIDL_PROFILE($28)

表示當(dāng)前用用戶(hù)配置文件的文件夾

CSIDL_PROGRAM_FILES($26)

表示程序文件的文件夾，例如：C:\Program Files

CSIDL_PROGRAM_FILES_COMMON($2B)

表示系統(tǒng)程序共用組件文件夾，例如：C:\Program Files\Common

CSIDL_PROGRAMS($2)

表示當(dāng)前用戶(hù)的“程序”菜單文件夾，例如：C:\Documents and Settings\username\Start Menu\Programs

CSIDL_RECENT($8)

表示當(dāng)前用戶(hù)的“文檔”菜單文件夾，例如：C:\Documents and Settings\username\Start Menu\Programs

CSIDL_SENDTO($9)

表示當(dāng)前用戶(hù)的“發(fā)送到”文件夾，例如：C:\Documents and Settings\username\SendTo

CSIDL_STARTMENU($B)

表示當(dāng)前用戶(hù)的“開(kāi)始”菜單文件夾，例如：C:\Documents and Settings\username\Start Menu

CSIDL_STARTUP($7)

表示當(dāng)前用戶(hù)的“啟動(dòng)”菜單文件夾，例如：C:\Documents and Settings\username\Start Menu\Programs\Startup

CSIDL_SYSTEM($25)

表示W(wǎng)INDOWS系統(tǒng)的系統(tǒng)文件夾，例如：C:\WINNT\SYSTEM32

CSIDL_TEMPLATES($15)

表示的是系統(tǒng)中存儲(chǔ)文檔模塊的文件夾

CSIDL_WINDOWS($24)

表示的是系統(tǒng)中Windows目錄的文件珍，例如：C:\WINNT