元氏| 漳平| 金湖| 横县| 新蔡| 北安| 济宁| 洮南| 祥云| 西安| 新密| 盐池| 墨江| 吉木萨尔| 海丰| 山西| 离石| 岳池| 阿坝| 鹿寨| 新干| 新竹县| 合作| 关岭| 忻城| 石渠| 邗江| 梁平| 城口| 绥中| 洞头| 围场| 垦利| 浦江| 肇源| 会东| 华亭| 贡嘎| 邵阳县| 星子| 齐河| 正阳| 淅川| 乐昌| 牙克石| 浦江| 安义| 嘉义县| 东海| 山西| 武都| 余江| 隆尧| 台北市| 新宾| 五常| 社旗| 甘棠镇| 和静| 武安| 怀宁| 尖扎| 铁岭市| 霍州| 雷州| 通渭| 城固| 澄江| 昭觉| 宜君| 同心| 碾子山| 小河| 上思| 锦州| 文安| 安塞| 海原| 冕宁| 鲁甸| 平鲁| 偏关| 黔江| 凌海| 荆门| 昂昂溪| 长白| 阿拉善右旗| 淮安| 镇远| 金州| 四川| 铁岭县| 贵阳| 秦皇岛| 乐清| 宜丰| 阳高| 卫辉| 焉耆| 如皋| 临颍| 长泰| 诸城| 上海| 紫云| 海安| 信宜| 昌黎| 高港| 巫山| 南汇| 汨罗| 长清| 尚义| 石首| 宜兴| 灵璧| 忻州| 龙岗| 富裕| 江宁| 镇平| 景县| 铜川| 郫县| 兴海| 平利| 双阳| 治多| 安庆| 嘉禾| 渑池| 蚌埠| 梁子湖| 饶平| 岳普湖| 北流| 台南县| 杞县| 定西| 清丰| 大方| 邢台| 济阳| 南丹| 太原| 阳江| 鹰手营子矿区| 莫力达瓦| 香港| 铁岭县| 孙吴| 乐平| 巴林右旗| 遵义县| 哈尔滨| 雷山| 武昌| 丹棱| 娄底| 扎赉特旗| 漯河| 嫩江| 威宁| 温江| 平川| 漯河| 东西湖| 海宁| 莆田| 华蓥| 瓮安| 晋江| 峡江| 玉门| 杭锦旗| 鹰潭| 赤壁| 龙岩| 宁波| 色达| 邳州| 萝北| 靖宇| 定州| 叙永| 礼县| 余干| 喀喇沁旗| 桃江| 鹰潭| 晋江| 石台| 孙吴| 循化| 岳阳县| 紫云| 贺州| 潞城| 大庆| 永年| 商城| 峨山| 仁寿| 慈溪| 双桥| 阿克苏| 巩义| 玛沁| 湟源| 贵溪| 衡东| 翁源| 上街| 罗江| 黄冈| 柘城| 睢宁| 环江| 云浮| 祁阳| 正定| 防城港| 桑日| 应城| 邕宁| 丰县| 井陉| 虎林| 黄骅| 定襄| 竹溪| 太原| 冀州| 猇亭| 齐河| 昌吉| 鄱阳| 新沂| 云龙| 克山| 商城| 澳门| 涞水| 隆安| 柳林| 黄冈| 桂平| 左云| 建瓯| 德令哈| 房山| 松江| 丹巴| 仁寿| 牙克石| 霍山| 南召| 维西| 长岛| 崇仁| 西乌珠穆沁旗| 涿州| 澳门新金沙

再也不用盯着屏幕流口水 国行福特F150强力来袭

2018-04-21 02:13 来源:中国经济网陕西

  再也不用盯着屏幕流口水 国行福特F150强力来袭

  果博东方娱乐导航【发明的前言】要把汽车发明的发明工作抓好,这是陈光祖老给我二年机工出版的汽车自主研发系列丛书作的序言。闲暇时,绕一圈的波光粼粼的湖,从中品味生活的情调;假期时,读一本趣味横溢的书,投身到另一个世界去;午睡时,听一支优美婉转的乐曲,在风景中感受诗情画意;夜晚时,坐在湖边遥望浩瀚的星空,净化一下自己的心灵。

即使顶配车型,尾灯也都是卤素光源,不过面积很大,提示效果不错。再来看看长城2008年至2014年在俄罗斯的销量,会比较清晰判断长城俄罗斯的现实状况究竟如何。

  问题三:乘车被迫成为冒险网约车规定要求展示司机个人信息,但在实际情况中,接单的司机和有时候并不是网约车平台信息上显示的司机;车辆信息不符的情况也不少见,车型、车牌都不同。在望京工作的李女士就遭遇了这样的尴尬。

  就像1月20日顺利结束第四赛段从墨尔本至香港的比赛,第四次停靠中国港口的沃尔沃环球帆船赛(VolvoOceanRace以下简称VOR),身为沃尔沃全球最大也最重要市场的船长,正在驾驭中国业务这艘大船驶入10w+深水区的袁小林和沃尔沃中国团队,当下的心情或许和沃尔沃帆船赛上的水手们一样:不经历严酷的风雨就没有环球的壮游,不选择勇敢的征服就没有光荣的抵达。第一站:的售楼处位于桥西北侧,玉璞公园东,是泰禾地产打造的城市平层大宅——北京“大院系”产品,想来大家还比较陌生。

苗头早已经出现,长城近几月在俄罗斯车市出现销售异常现象,七月份售出319辆车,下跌73%。

  现在快车的价格普遍高于出租车,并且不少平台推出了高峰时段加价、每单加价、加价呼叫位置更远的车辆等各类服务,进一步提升了网约车的消费门槛。

  早在2013年,沃尔沃就提出未来电动汽车发展三步走战略思路,2017年更是率先发布了电气化战略,宣布自2019年起,所有上市新车都将配备电动机,成为首个宣布全面电气化战略的汽车制造商。中国进入城市群发展阶段左晖认为,房地产市场40年的发展,对整个中国经济发展都起到了非常关键性的作用:“第一,自1998年房改后,中国开启了大规模的建设浪潮;第二,居住条件得到了显著改善;第三,住房的成套率发生了很大的变化,今天已经到了90%以上;第四,今天的户均住房套数也在发生变化,‘房户比’这个指标各个地区分布是非常不均衡的,比如上海、北京房屋和户数比是;第五,住房基本上实现了可支付,尽管涨幅比较高,但基本上实现了可支付的问题。

  车企“官降”每年都有,只不过未像今年这般“高调”且集中。

  ”“第二,建立更加包容的住房政策。它是一种集合移动互联,智能汽车,新能源等多项技术集成的前沿方向。

  拒载一直是困扰乘客的顽疾,网约车的诞生似乎给出了一个解决方案。

  澳门葡京赌场网站唯有如此,我们才能更好的实施年轻化战略。

  1998年,首度将自己的名字镌刻在这项伟大赛事前面的沃尔沃,同样在自己90年的造车历史和信念中体现出一种朴素的人本精神,那就是安全和环保。关于沃尔沃未来产品安全、环保方面的目标,BjoinAnwall先生还补充道,2020年,不应该再有事故导致的人员严重受伤;到2025年,沃尔沃会有超过100万辆电动汽车上路;同样是2025年,得益于自动驾驶技术的快速发展,所有驾驶员将在一年当中获得至少一周以上的高品质自由时间。

  葡京在线网投 韦德国际体育投注 澳门赌场排名

  再也不用盯着屏幕流口水 国行福特F150强力来袭

 
责编:

吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6810|回复: 118
上一主题 下一主题

再也不用盯着屏幕流口水 国行福特F150强力来袭

  [复制链接]
跳转到指定楼层
楼主
发表于 2018-3-18 15:53 | 只看该作者 回帖奖励 |倒序浏览
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 ScareCrowL 于 2018-3-20 10:24 编辑

前言

澳门新金沙 在事情发生之后,Uber在所有经营的城市,包括匹兹堡,多伦多,旧金山和凤凰城,都停止了无人车测试。

  一个很有意思的事情,3月初GandCrab(Crab->螃蟹)勒索病毒的服务器被罗马尼亚一家安全公司和警方攻破,可以成功恢复GandCrab加密的文件。病毒开发人员迅速升级了版本V2,并将服务器主机命名为politiaromana.bit,挑衅罗马尼亚警方。
  恰巧有坛友中了招,那我们就来分析下,看看版本2这只螃蟹的进击。

样本概述

样本信息:
病毒名称:hmieuy.exe
文件大小:315912 bytes
MD5值:F42774332FB637650FF0E524CE1B1685
SHA1值:0012363A8A6EFDD93FBD4624EE5E8DDF1F7BE8D5
CRC32:9732F21C
样本来源:
https://www.52pojie.cn/forum.php?mod=viewthread&tid=707668
VirusTotal:
https://www.virustotal.com/#/file/15846ed8f38c0fac876b96a9d2eb55c3c98a428147ae372ade22efb854cfc4aa/detection
71款杀软PASS了45个,还是有些威力的(截止2018.03.18)

行为预览

勒索信息:


  勒索软件要求的不是比特币,而是Dash(达世币),还有中文显示外加二维码支付,可谓是极其贴心了,不过算一下,1200 USD=7596 RMB,病毒老哥,我直接换个电脑不好嘛!

技术分析

  GandCrab一代程序非常简单,并没有混淆数据或代码,甚至直接用IDA反汇编都能较精确的得到结果。而GandCrab二代相比一代多了三层封装和代码混淆,使用了大量的PE结构解析操作,并且很有意思的采用了反射式DLL注入,我们必须多次从OD中将内存DUMP出来,才得以在IDA中同步静态分析,大大增加了分析难度,也降低了被杀软查杀的机率。

原始样本分析

通过IDA定位到WinMain入口点0x004010B4,进入主逻辑发现很多无用函数和循环干扰分析,函数循环的次数是这样的:


甚至是这样的:

  测试循环极其耗时,我们通过设置条件断点和nop循环跳转,在不影响程序正常运行的情况下略过无用函数,寻找关键点。
病毒会申请一块堆空间,之后从资源段找到加密的shellcode,复制到堆内存中。


然后会将shellcode解密,我们将内存中的恶意代码DUMP下来,命名为shellcode.txt,拖入IDA分析。

最后更改shellcode内存保护为可读可写可执行,并执行shellcode。

注:程序中还会有一些简单的反调试,如IsDebuggerPresent,StrongOD轻松过掉。

Shellcode分析

  Shellcode部分存在花指令,导致OD和IDA显示异常,IDA 也因为堆栈不平衡难以F5。
  但通过常见的编写思路和PE结构解析我们还是能推测出病毒的意图。
Shellcode的常见执行流程:
1)获取kernel32.dll基址


  由于shellcode无法直接调用API,所以需要先获取kernel32.dll基址,从而遍历导出表获得所需函数地址。

2)遍历导出表取得GetProcAddress、LoadLibrary等函数地址

3)再次申请空间,并解密了一段代码(我们命名为PE1)

4)加载PE1数据
  将解密后的PE文件以文件对齐的方式加载到内存中
拷贝PE1头部、遍历拷贝区段:


  之后就是PE1数据的执行了,此时不需像之前一样获取kernel32.dll基址再获取API地址了,因为我们解析的是完整的PE文件,文件里有导入表,修复IAT即可。

5)修复PE文件IAT

  这样整个过程PE数据没有在磁盘落地,可以躲避杀软的文件检测。本来以为这样就可以了,但是病毒又做了一层封装,使用反射式DLL注入,我们DUMP下此时的内存(命名为PE1.EXE),继续分析。

反射式DLL注入分析

反射式DLL注入原理:
  简单说,常见DLL注入最终都会使用LoadLibrary完成DLL装载,而反射式注入通过为DLL添加一个导出函数ReflectiveLoader来实现装载自身,这样只需要将DLL文件写入目标进程的虚拟空间中,然后通过DLL的导出表找到这个ReflectiveLoader并调用它就可以了。不需要在文件系统存放目标DLL,减少了文件“落地”被删的风险。同时它没有通过LoadLibrary等API来完成DLL的装载,DLL并没有在操作系统中”注册”自己,因此更容易通过杀软的行为检测。
  难点在于ReflectiveLoader运行时DLL没有被装载,所以编写的代码必须是地址无关,也即ReflectiveLoader中的代码无论处于虚拟空间的哪个位置,它都必须能正确运行。
  需要注意的是,病毒本身是利用了DLL导出函数实现DLL装载,并没有真正的注入其它进程,也就是相比完整的反射式注入少了注射器部分(VirtualAllocEx、WriteProcessMemory、CreateRemoteThread),但反射原理相同,暂且理解为是"反射式注入自身”吧。
OD继续调试原程序hmieuy.exe,IDA解析PE1.EXE,此时会有一些代码混淆,OD指令会出现很多错乱。


发现关键点,怀疑病毒使用了反射注入DLL的方式(遇到大量花指令,可直接从IDA找地址OD跳转,不需一步一步跟,为方便调试,使用OD调试PE1.EXE)

最终得到了PE1.EXE释放的PE2.DLL,DUMP下来。

之后病毒会先CALL进导出函数,实现ReflectiveLoader:
1)定位DLL文件在内存中的基址


2)获取所需的系统API
  通过PEB找到kernel32.dll中的LoadLibraryA(), GetProcAddress(),VirtualAlloc()以及ntdll.dll中的NtFlushInstructionCache()函数。

3)分配一片用来装载DLL的空间

4) 复制PE文件头和各个节
类似PE1
5) 修复DLL的导入表
类似PE1
6) 修复DLL重定位表

7) 调用DLL入口点

NtFlushInstructionCache用来清除指令缓存以避免一些问题。
最终跳转到核心DLL入口。

PE2.DLL数据分析

  折腾半天,终于见到毒螃蟹真身了。
  病毒核心代码可以分成3个主要部分:初始化部分、网络部分和文件加密部分。

初始化部分

1)整体逻辑:

  首先病毒会创建一个新线程来执行代码,主线程会挂起,新线程的初始化部分如下:

2)获取信息及创建互斥体

GranCrab2会从系统中收集各类信息, 如:
•        用户名
•        主机名
•        处理器类型
•        操作系统版本
•        IP地址
•        磁盘空间
•        系统语言等

之后会通过系统信息来命名创建互斥体(Mutex),若判断互斥体存在,则结束进程,防止多开。

3) 查找杀软内核驱动

创建线程(Find_Antivirus),首先会单独寻找卡巴斯基驱动(Klif.sys),看来很是惧怕卡巴的淫威啊,哈哈,看图:


之后会再寻找其它杀软驱动sys如:
•        Fsdfw.sys
•        Srtsp.sys (诺顿)
•        Srtsp64.sys
•        NavEng.sys
•        NavEx15.sys
检测完毕,病毒会将自身释放到系统目录,并设置开机自启动 。

4) 遍历终止进程

  由于是勒索软件,自然需要将需加密的程序结束,以防文件被占用无法加密,结束进程清单如下:
msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlservr.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesktopqos.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe

5) CSP生成RSA密钥

  简单介绍下CSP,全名“加密服务提供者(Cryptographic Service Provider)”, 是微软定义的一套密码服务API,主要存在于Advapi32.dll中,利用CSP可以非常方便的实现AES、RSA、MD5、SHA1等常用加密算法。
病毒使用了微软的CSP容器来加解密,主要分为以下几个步骤:
①产生CSP容器
连接CSP,获得指定CSP的密钥容器的句柄


②生成密钥
生成密钥有两种方式,CryptGenKey(生成随机密钥)和CryptImportKey(导入密钥),病毒使用了CryptGenKey方式。
另:Microsoft Base Cryptographic Provider v1.0:密钥长度为512位
Microsoft Enhanced Cryptographic Provider v1.0:密钥长度为1024位

③导出密钥
由于使用的是RSA算法,所以分别导出公、私钥,如图:


③加解密
④销毁容器
注:加解密部分在4.3加密部分描述

网络部分

1) 遍历杀软进程

病毒会首先寻找是否有杀软进程,相关信息会处理后发往服务器。

2) 生成请求包字符串

GandCrab的服务器托管在.bit域名上,共有以下几种,默认使用第一个
"politiaromana.bit"
"malwarehunterteam.bit"
"gdcb.bit"
检查杀软后,病毒会将之前生成的RSA公私钥通过CryptBinaryToStringA(Windows API)转换为base64编码,之后将编码结果加入到要发送的GET请求字符串中。


RSA公钥:
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

转换为BASE64:
BgIAAACkAABSU0ExAAgAAAEAAQAjWAc/tDw6glfq8FFlcZP2SbyrkBQ3EcyJKn82EdR2pF3TCfPiK10vsjavwqj00dxUjrt3CDik0GQrXjAi4Clvs2KqQtxRNRq7AuV9Um8y0ABrpkwV4tPUXnfmTS0NbB9z2aBrwV2HuKiJwSDFmTKxAjZuThHm8sHKe+0sTrHIfsZRPKNtelaBiGa/HeocmC/mYkLGvl7XU8Wahk6uIbIHi5JyUoe6jX6F5ID9IoNS5b9oNq82H0tsVE8ZcYQAo3KiSFIprn6+PTrAQ9HML8EFWQZaJBASnKjUNj2eU/FRPR+S6mpKXfBHW9TMFyz3AoX2TSmR642vmHWdGpMGWWLI

我们同时也获得了私钥,太长就不贴出来了~
请求字符串:病毒程序会将搜索到的各种系统信息和公私钥信息整合在一起,如图:


内容很长,这里只截取重要部分,后面私钥部分省略……
百度确认一下本机外网IP,恩,病毒老哥没毛病~

准备完毕后必然是要发送给它自己的服务器了~

伪装成->Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/53

3)通过管道创建nslookup.exe子进程

  病毒会通过创建nslookup.exe子进程的方式来检测服务器是否正常(注:nslookup是系统内置的应用程序,可以通过域名查询服务器ip等DNS信息)。


简单介绍一下管道通信,管道是一种用于在进程间共享数据的机制,其实质是一段共享内存,病毒利用了管道进行父子进程的通信,这样子进程就可以直接影响父进程内存。

为实现父子进程间通信,需要对子进程的管道进行重定向:
创建子进程函数 CreateProcess中有一个参数STARUIINFO,默认情况下子进程的输入输出管道是标准输入输出流,可以通过下面的方法实现管道重定向:
STARTUPINFO si;
si.hStdInput   = hPipeInputRead;   //输入由标准输入 -> 从管道中读取
si.hStdOutput  = hPipeOutputWrite; //输出由标准输出 -> 输出到管道


nslookup politiaromana.bit ns1.virmach.ru(.ru后缀,应该是俄罗斯黑客)

可以看到nslookup通过命令发出请求(服务器IP:109.234.35.56),正常解析后的地址如下:

大佬们可以试试把服务器日了~

4) HTTP协议发送信息

信息的发送是通过HTTP协议进行的:


如果出现网络连接错误或者服务器异常,则代码会进入无限循环,直到找到可用的服务器为止,然后重新查询客户端IP,再次运行nslookup,解析IP地址。如下图:

加密部分

  我们已经知道病毒使用了RSA算法,不过加密前病毒还会对特殊文件、文件路径以及后缀等进行过滤处理。

1) 创建加密线程

过滤磁盘,只对固定磁盘和网络磁盘加密,且每个磁盘创建一个线程:
0 DRIVE_UNKNOWN 未知的磁盘类型
1 DRIVE_NO_ROOT_DIR 说明lpRootPathName是无效的
2 DRIVE_REMOVABLE 可移动磁盘
3 DRIVE_FIXED 固定磁盘
4 DRIVE_REMOTE 网络磁盘
5DRIVE_CDROM 光驱
6 DRIVE_RAMDISK 为RAM

2)过滤文件及路径

如果病毒处于以下文件路径时,会过滤并跳过,防止关键目录被加密系统无法运行:
关键目录:
ProgramData
IETldCache
Boot
Program Files
Tor Browser(洋葱浏览器)
Ransomware
All Users
Local Settings
Windows
其它系统特殊文件夹(SHGetSpecialFolderPathW查找,如C:\Program Files)

跳过指定文件:
.sql
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat .log
thumbs.db
GDCB-DECRYPT.txt

过滤指定后缀(以下后缀文件不加密):

3)创建勒索信息文件

  之后,病毒会在各文件夹根目录创建勒索信息,V2版本的GandCrab很人性啊,怕大家不会用洋葱浏览器,还提供了可直接访问的洋葱链接~

4)文件加密分析

CSP加密基本函数:

  1. CryptImportKey将密钥从BLOB转换到CSP中
  2. CryptGetKeyParam获取密钥的一些参数

  3. CryptEncrypt加密文件

    加密逻辑:
    文件会使用CryptGenRandom(CSP函数,为空间产生随机字节) 配合盐(salt)来加密文件:

    这里为了方便测试我们准备文件”1.txt”,内容为11112222

病毒共对4个部分进行了加密拼接,组成最后的加密文件:
第一段:
病毒通过CryptGenRandom函数,将字符串”GandCrabGandCrab”(长度0x10) 随机后得到随机值,由于后面会用到,我们命名为R1,如图:


可以看到,字符串被随机化,然后病毒会申请一块内存(如图中拷贝到0x1A0000),将随机数拷贝过去,最后通过CryptEncrypt函数加密,结果如下:

第二段:
加密方式与第一段相同,只是字符串变化为“GandCrabGandCrabGandCrabGandCrab”(长度0x20),命名为R2。
随机后:


加密后:

第三段:
  首先病毒会CreateFileW打开待加密文件,并通过ReadFile将原程序映射到内存中,之后会来到下图函数:


  可以观察到,函数的三个参数中有一个是R1(随机数),这样我们有理由怀疑函数中可能使用R1加密。经过反复对比,果然找到了一段非常规的异或代码,将原程序二进制流与R1做pxor操作。

原程序:          01310000  31 31 31 31 31 32 32 32 32 32
R1:                 02A2F254  87 0F 72 81 00 92 6E  F0 38 0E 98 31 BF 41 F2 E8
异或后:  01310000  B6 3E 43 B0 31 A0 5C C2 0A 3C 98 31 BF 41 F2 E8  

  此时不禁小激动一下,有没有可能这毒螃蟹一抽把没加密的盐存在文件中呢?我就单纯的意淫下,哈哈,我们继续往下看~


终于到了最终的文件加密了,函数压入了3个参数:

  1. 原始文本异或R1(随机数)后的字段(0x1310000)
  2. 新申请的存储地址 (0x1320000)
  3. R2(随机数)

  加密时首先会用R2对密文进行异或,0x10字节为一组,利用了EAX、EBX、ECX、EDX分别存储4字节密文


之后是一段F5后长达500行的加密

  看起来虽长,但原理不难,病毒利用了一段内存的各种偏移(偏移值由被加密的ECX寄存器低16位动态获取)进行异或加密(辅以循环位移),我们可以通过把内存DUMP下来,模拟加解密~因为我们之前也得到了私钥,那么现在已经是可以实现解密的,然而有什么意义呢?毕竟中毒时如果没有实时抓包,是无法记录下发送的密钥的,那么即使逆出算法,也没法破解公钥体制,毕竟这是1024位的RSA。

最终看一下病毒文件的写顺序:
1.0x1320000                原文件加密内存


2.0x140000                “GandCrabGandCrabGandCrabGandCrab”随机数加密内存

3.0x1A0000                ”GandCrabGandCrab”随机数加密内存

4.0x1C0000                标志位

最终加密文件1.txt.CRAB

思考总结

  这个病毒分析起来挺有意思的,但很磨时间,掺杂了很多的代码混淆、花指令,shellcode部分无法F5分析。
  一些想法:
  1.分析病毒时若导出表和代码中API很少,有理由怀疑会释放shellcode或PE文件。
  2.合理选择F7进CALL的时机,寻找关键循环或CALL,不要掉入病毒的混淆陷阱。
  3.内存中的释放文件要及时DUMP出来,先IDA静态分析,再OD动态调试。
  4.耐心耐心再耐心,和病毒大哥拼毅力。
  5.对于加解密部分,V1版本的解密是服务器泄露造成的,V2版本对防止逆向分析做了很多处理,但加解密手段没有太大改变。
  6.最后友情提示,谨慎留意钓鱼邮件、漏洞工具包以及不明网站的字体下载! 字体下载!
  能力有限,有误的地方请大家指出~谢谢

GandCrabV2.0 DUMP IDB.rar

831.96 KB, 下载次数: 62, 下载积分: 吾爱币 -1 CB

大于1M,只好分成两个文件

GandCrabV2.0 样本 IDB.rar

562.69 KB, 下载次数: 66, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 63吾爱币 +65 热心值 +61 收起 理由
xiaz1990 + 1 谢谢@Thanks!
羞涩 + 2 + 1 论坛禁止求脱求破,求助软件分析思路,务必在主题帖中描述清楚你的分析思路.
Guitarist_Cheng + 1 + 1 太牛逼了!
tod19960528 + 1 + 1 我很赞同!
john1008 + 1 + 1 谢谢@Thanks!
firelee691 + 1 + 1 用心讨论,共获提升!
fr33m4n + 1 + 1 热心回复!
粉藍弟 + 1 + 1 用心讨论,共获提升!
吾乃木易先生 + 1 + 1 大佬大佬!
天霸动霸tua + 1 + 1 热心回复!
siuhoapdou + 1 + 1 谢谢@Thanks!
colin_chu + 1 + 1 我很赞同!
Xyzkst + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
mj2013ly + 1 + 1 热心回复!
草薙素紫 + 1 + 1 我很赞同!
fearyuan + 1 + 1 我很赞同!
quanp520 + 1 我很赞同!
liutongwei + 1 + 1 谢谢@Thanks!
艾爱姆Joker + 1 + 1 向大佬致敬
noth + 1 + 1 我很赞同!
Nicklobin + 1 + 1 光看都懵逼,我怀疑自己智商可能是负数
人生海海 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yuishang + 1 + 1 热心回复!
virusPPP + 1 + 1 我很赞同!
zzzlucas + 1 + 1 用心讨论,共获提升!
qzr + 1 + 1 用心讨论,共获提升!
xxpl123 + 1 + 1 谢谢@Thanks!
lanlan123 + 1 + 1 每次看到这么牛逼的分析,我就在想,看看人家再看看自己
shadoll + 1 + 1 用心讨论,共获提升!
zhangbaida + 3 + 1 鼓励转贴优秀软件安全工具和文档!
lies2014 + 1 + 1 谢谢@Thanks!
曾经沧海sy + 1 + 1 天书不过如此,辛苦辛苦!
tzn842600 + 1 + 1 热心回复!
likte + 1 + 1 热心回复!
crest_jin + 1 + 1 多谢大佬分享
linruo218 + 1 + 1 谢谢@Thanks!
那份执着 + 1 + 1 每次看到这么牛逼的分析,我就在想,看看人家再看看自己
szx503 + 1 + 1 666 厉害了我的大佬!
教授专用 + 1 用心讨论,共获提升!
Woodmon + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
清香白莲 + 1 + 1 用心讨论,共获提升!
xiaoyou328 + 1 + 1 用心讨论,共获提升!
Ravey + 1 + 1 谢谢@Thanks!
YCAPTAIN + 1 + 1 我很赞同!
枯凡 + 1 + 1 热心回复!
a719458520 + 1 热心回复!
土川鼠 + 1 + 1 谢谢@Thanks!
fhisd + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
认定666 + 1 + 1 用心讨论,共获提升!
liphily + 1 能发信息安全类SCI吗——
xieqijun + 1 + 1 我很赞同!
4703513 + 1 + 1 我很赞同!
FeelingsDog + 1 +1完全看不懂,我只想知道要练多少年才能这么牛逼
happyqq521 + 2 + 1 完全看不懂,我只想知道要练多少年才能这么牛逼
Cock + 1 + 1 鼓励转贴优秀软件安全工具和文档!
jnez112358 + 1 + 1 谢谢@Thanks!
hellowmykami + 1 + 1 我很赞同!
很快再相见123 + 1 + 1 我很赞同!
在那悠远的穹 + 1 + 1 我很赞同!
leifeng + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
代代是个好名字 + 1 + 1 用心讨论,共获提升!
yAYa + 3 + 1 用心讨论,共获提升!
Ms.L + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
 楼主| 发表于 2018-3-20 10:12 | 只看该作者 |楼主
本帖最后由 ScareCrowL 于 2018-3-20 10:23 编辑
snipeer 发表于 2018-3-19 21:20
佩服,感谢楼主分享! 有个疑问,病毒把功能DLL注入到哪些个目标宿主进程去了?如果相对固定,遇到病毒发作 ...

老铁看得很仔细哈,病毒本身是利用了DLL导出函数实现DLL装载,并没有真正的注入其它进程,也就是相比完整的反射式注入少了注射器部分(VirtualAllocEx、WriteProcessMemory、CreateRemoteThread),但反射原理相同,暂且理解为是"反射式注入自身”吧,谢谢指出,已补充~

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
发表于 2018-3-19 21:20 来自手机 | 只看该作者
佩服,感谢楼主分享! 有个疑问,病毒把功能DLL注入到哪些个目标宿主进程去了?如果相对固定,遇到病毒发作,可以第一时间把宿主进程杀掉,减少损失。另一个,杀毒软件,对磁盘文件监控是强项,对直接进入内存的代码变化监控弱。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

板凳
发表于 2018-3-18 15:57 | 只看该作者
对的,咱们论坛就有一个字体下载中病毒的,我也不知道具体情况

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

报纸
发表于 2018-3-18 16:44 | 只看该作者
虽然 不是很懂  但看着楼主确实用心分析了   感谢分享 希望自己也能做到这样

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

地板
发表于 2018-3-18 17:48 | 只看该作者
确实没懂,但是感觉很厉害

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

7#
发表于 2018-3-18 17:57 | 只看该作者
学习,谢谢

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

8#
发表于 2018-3-18 18:18 | 只看该作者
楼主给力,讲的挺不错的

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

9#
发表于 2018-3-18 18:22 | 只看该作者
确实没懂,但是感觉很厉害学习了

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

10#
发表于 2018-3-18 18:24 | 只看该作者
{:1_937:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

11#
发表于 2018-3-18 18:29 | 只看该作者
看懂了一些 后面有些还没读 技术牛 可以 非常棒

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

12#
发表于 2018-3-18 18:40 | 只看该作者
666,大佬可以的

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2018-4-19 13:38

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表
大华早点怎么加盟 新尚早餐加盟 品牌早点加盟 中式早餐店加盟 网吧加盟
早餐粥加盟 特许加盟 早点小吃加盟排行榜 早点加盟车 小投资加盟店
北京特色早点加盟 早点小吃加盟连锁 北京早点摊加盟 春光早点加盟 早餐加盟什么好
北方早餐加盟 豆浆早餐加盟 加盟早点车 广式早餐加盟 娘家早餐加盟
百度