wannacry逆向分析初探（一）

hercs · 发表于 2018-6-11 18:10

本帖最后由 hercs 于 2018-6-13 18:24 编辑

一、部分流程初步猜测

主要流程.png

1.从资源加载木马
2.通过命令行开启两进程
3.获取文件操作类函数指针保存于全局变量
4.RSA解密获得AES的key
5.通过该KEY利用AES解密木马PE文件
6.内存加载木马
7.执行木马导出函数
目前只是初步分析到了这些功能，其他的后面再写吧，这次先分析内存加载

二、内存加载木马，执行导出函数
图片2.png

保存关键API地址

修复重定位

修复INT

修改段属性
运行TLS
执行dllmain
图片8.png

执行导出函数TaskStart
图片9.png

利用winhex+od将该dll dump出来，再用IDA分析如下

TK1VOHF%18$)2LL$MT78E(Q.png

可以看出开了5个线程，很像ghost里的木马主程序，初步推测为木马的一部分。。。。

Hmily · 发表于 2018-6-11 18:27

贴图都有问题，请看这个教程https://www.52pojie.cn/misc.php? ... 29&messageid=36

烁源烁 · 发表于 2018-6-11 19:51

虽然我现在还在默默学习，没有在大神面前发言的权利，但我一定努力，一定向大神们靠拢！

审判者压缩 · 发表于 2018-6-11 20:54

学习了学习了

lyliucn · 发表于 2018-6-11 22:38

看到木马都怕呀。

muzb · 发表于 2018-6-12 06:44

提示: 作者被禁止或删除内容自动屏蔽

kingaero · 发表于 2018-6-12 16:46

期待h后面的详解

sstm · 发表于 2018-6-13 08:37

提示: 作者被禁止或删除内容自动屏蔽

pikachu888 · 发表于 2018-6-13 10:16

第4步的RSA解密获得AES的key,是说明之前被加密的文件,都可以解密了吗?

小灰灰来喽 · 发表于 2018-6-17 17:17

很吊来看看

帐号		自动登录	找回密码
密码			注册[Register]

muzb muzb 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	muzb 发表于 2018-6-12 06:44 提示: 作者被禁止或删除内容自动屏蔽
muzb muzb 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽
	回复支持举报

sstm sstm 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	sstm 发表于 2018-6-13 08:37 提示: 作者被禁止或删除内容自动屏蔽
sstm sstm 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽
	回复支持举报

[PC样本分析] wannacry逆向分析初探（一）

免费评分

个人中心