芜湖县| 大足| 东山| 小河| 胶南| 成武| 韩城| 江永| 凤城| 永宁| 乌伊岭| 澄海| 孟津| 久治| 宜阳| 平坝| 宾县| 蕲春| 祁东| 清河| 老河口| 赣榆| 德保| 土默特右旗| 石阡| 凉城| 盱眙| 温宿| 阜新市| 德兴| 闽清| 曾母暗沙| 织金| 青田| 新乡| 小河| 宣汉| 辛集| 新城子| 扎赉特旗| 自贡| 平度| 寒亭| 石棉| 永兴| 巨野| 瑞昌| 项城| 沿河| 长治市| 新疆| 余江| 西充| 松溪| 共和| 禹州| 肃南| 诏安| 荆州| 芷江| 邗江| 涉县| 西盟| 长沙县| 秦安| 松江| 泉州| 平阳| 灵武| 鸡东| 合浦| 崇礼| 沙湾| 凤阳| 乌兰察布| 疏附| 阿克塞| 云县| 本溪市| 临沧| 理县| 平坝| 门源| 康平| 浮梁| 盂县| 蒲江| 黄梅| 钓鱼岛| 北安| 弥勒| 仪陇| 钓鱼岛| 索县| 元坝| 海晏| 安康| 北碚| 友好| 新竹县| 中卫| 衢江| 淮阴| 兴文| 金坛| 五台| 沽源| 临桂| 罗田| 南宫| 屏山| 遂平| 盐池| 南昌县| 曲江| 腾冲| 泸西| 磐石| 南安| 洞头| 深泽| 淮安| 房山| 哈巴河| 萍乡| 柘荣| 泾县| 广昌| 宁波| 贵德| 蓝山| 米脂| 灵川| 蛟河| 昂仁| 武都| 乐至| 苍山| 丰润| 商都| 达拉特旗| 新田| 丹阳| 龙江| 歙县| 元谋| 元阳| 阿巴嘎旗| 临湘| 泾县| 皋兰| 驻马店| 都兰| 正阳| 南乐| 稻城| 汕头| 府谷| 南京| 湘东| 长春| 汉寿| 喀什| 苗栗| 密云| 江陵| 崂山| 广宗| 炎陵| 万荣| 宁陕| 垫江| 邵阳县| 吉首| 乌当| 英山| 高陵| 泸溪| 木兰| 前郭尔罗斯| 东兴| 大新| 大英| 徐州| 马边| 东阳| 魏县| 藁城| 盐山| 昌黎| 宁阳| 兴海| 阿城| 东乌珠穆沁旗| 盱眙| 宾川| 白城| 永胜| 麟游| 赣榆| 阿拉尔| 永丰| 连云区| 阜康| 台南县| 江山| 沙县| 博爱| 科尔沁右翼中旗| 开化| 宁安| 沁水| 松溪| 连江| 即墨| 抚宁| 肇东| 万州| 连山| 安宁| 寒亭| 武都| 肥乡| 湘阴| 高陵| 南涧| 紫金| 龙口| 宁津| 麟游| 雷山| 金门| 斗门| 民乐| 广东| 紫云| 南部| 八达岭| 神农顶| 法库| 岢岚| 清镇| 五河| 扎兰屯| 甘德| 阜新市| 荔浦| 皋兰| 荥经| 费县| 五华| 桓仁| 武平| 景泰| 遂昌| 河池| 商城| 阿图什| 高要| 井陉| 科尔沁右翼前旗| 兴隆| 宁明| 玉树| 银河网上开户平台

杏彩 5 3 5 4 5 主 倌

2018-04-27 07:05 来源:中国贸易新闻

  杏彩 5 3 5 4 5 主 倌

  澳门威尼斯人注册值得一提的是,去年表现出色的日本选手张本智和,在男单第一轮就被欧洲选手淘汰!本次德国公开赛,欧洲选手表现亮眼,在男单8强中,欧洲选手占据5个席位,让人刮目相看。尤其在前锋、前腰、后腰(中前卫)这最关键的三个位置上,一直是中超各队引进外援的主要目标,而当这三个位置几乎都是大牌外援后,才会造成像武磊外无人可用,郑智37岁仍然是国家队必不可少的核心等等情况。

但就是这样一支全员廖化被普遍看衰的队伍,却打出了一波凶猛的行情。中超首轮,四花八门。

  据比利时媒体报道,由于受到财政公平竞赛的影响,为了避免激怒欧足联,意甲豪门罗马俱乐部需要在今年夏天甩卖一些球星,这其中去年与广州恒大传出绯闻的纳因格兰,将成为罗马俱乐部第一个清洗的对象。所有中国球员也更应该清醒:即便中国国家队拥有里皮,但他是不能出场比赛的,中国队才上场所倚靠的只能是他们,没有点拼死搏斗的精神,中国队不要说在欧洲球队面前啥都不是,在亚洲也啥也算不上。

  原标题:热身赛:越位进球被吹,中国U21选拔队0-0泰国虎扑3月24日讯今天下午,中国足协U21选拔队在贺龙体育场面对热身赛第二个对手泰国U21国家队。水谷隼作为多年的日本一哥,虽然比赛经验丰富,但在实力强大的马龙面前,只有被动挨打的份。

哈登先是连续投中了两记不讲理的干拔三分球,接着在最后一攻的转换中,又冷静出球分给了空位的戈登,帮助后者命中压哨三分球。

  值得一提的是,本场比赛中国杯主办方万达集团董事长王健林也来到现场观战,但是赛后他显得脸色铁青,显然对于这个结果很不满意。

  此外,主攻李曼、接应刘丹、副攻李瑷彤目前的竞技力也随着年龄增长下滑,她们都有可能退役。湖人未来两场比赛的对手分别是灰熊和活塞。

  今天的比赛最好地诠释了他的贡献,防守端6个盖帽,进攻端18分和数不清的篮板球。

  要知道,击败过常规赛全部对手的,至今只有广厦一家,辽宁要想成为另一家,下一轮必须客战赢下依然在为一张季后赛附加赛门票拼命的广州,这比高速战胜青岛的难度大多了。下半场易边再战,第57分钟,陈彬彬紧区前分球,陈彬彬的左脚抽射被哈勒德-易卜拉欣双拳击出。

  2016年,他挑战中国首个超长距离越野赛第二届八百流沙极限赛,并且用时92小时26分15秒斩获冠军。

  吉祥坊官方网站2017凭借索里亚诺和宁伟辰上下半场的两粒入球,中赫国安最终2-1力克对手取得胜利。

  每名队员都想参加高级别的世界比赛,我们会继续努力成为更强大的团队,争取进入世界杯。鹈鹕最近的赛程有点紧,显然他们也受到了影响,体力出现了问题,这也是我们今天打的轻松的原因。

  e彩在线 美高梅网站平台 tt娱乐官网

  杏彩 5 3 5 4 5 主 倌

 
责编:

吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7162|回复: 118
上一主题 下一主题

杏彩 5 3 5 4 5 主 倌

  [复制链接]
跳转到指定楼层
楼主
发表于 2018-3-18 15:53 | 只看该作者 回帖奖励 |倒序浏览
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 ScareCrowL 于 2018-3-20 10:24 编辑

前言

日博老金钻线博第一 周琦在本赛季长期处于发展联盟效力,而他此前已经征战23场发展联盟比赛,场均能够砍下分篮板助攻盖帽数据,其中投篮命中率达到%,无疑还是不俗的数据。

  一个很有意思的事情,3月初GandCrab(Crab->螃蟹)勒索病毒的服务器被罗马尼亚一家安全公司和警方攻破,可以成功恢复GandCrab加密的文件。病毒开发人员迅速升级了版本V2,并将服务器主机命名为politiaromana.bit,挑衅罗马尼亚警方。
  恰巧有坛友中了招,那我们就来分析下,看看版本2这只螃蟹的进击。

样本概述

样本信息:
病毒名称:hmieuy.exe
文件大小:315912 bytes
MD5值:F42774332FB637650FF0E524CE1B1685
SHA1值:0012363A8A6EFDD93FBD4624EE5E8DDF1F7BE8D5
CRC32:9732F21C
样本来源:
https://www.52pojie.cn/forum.php?mod=viewthread&tid=707668
VirusTotal:
https://www.virustotal.com/#/file/15846ed8f38c0fac876b96a9d2eb55c3c98a428147ae372ade22efb854cfc4aa/detection
71款杀软PASS了45个,还是有些威力的(截止2018.03.18)

行为预览

勒索信息:


  勒索软件要求的不是比特币,而是Dash(达世币),还有中文显示外加二维码支付,可谓是极其贴心了,不过算一下,1200 USD=7596 RMB,病毒老哥,我直接换个电脑不好嘛!

技术分析

  GandCrab一代程序非常简单,并没有混淆数据或代码,甚至直接用IDA反汇编都能较精确的得到结果。而GandCrab二代相比一代多了三层封装和代码混淆,使用了大量的PE结构解析操作,并且很有意思的采用了反射式DLL注入,我们必须多次从OD中将内存DUMP出来,才得以在IDA中同步静态分析,大大增加了分析难度,也降低了被杀软查杀的机率。

原始样本分析

通过IDA定位到WinMain入口点0x004010B4,进入主逻辑发现很多无用函数和循环干扰分析,函数循环的次数是这样的:


甚至是这样的:

  测试循环极其耗时,我们通过设置条件断点和nop循环跳转,在不影响程序正常运行的情况下略过无用函数,寻找关键点。
病毒会申请一块堆空间,之后从资源段找到加密的shellcode,复制到堆内存中。


然后会将shellcode解密,我们将内存中的恶意代码DUMP下来,命名为shellcode.txt,拖入IDA分析。

最后更改shellcode内存保护为可读可写可执行,并执行shellcode。

注:程序中还会有一些简单的反调试,如IsDebuggerPresent,StrongOD轻松过掉。

Shellcode分析

  Shellcode部分存在花指令,导致OD和IDA显示异常,IDA 也因为堆栈不平衡难以F5。
  但通过常见的编写思路和PE结构解析我们还是能推测出病毒的意图。
Shellcode的常见执行流程:
1)获取kernel32.dll基址


  由于shellcode无法直接调用API,所以需要先获取kernel32.dll基址,从而遍历导出表获得所需函数地址。

2)遍历导出表取得GetProcAddress、LoadLibrary等函数地址

3)再次申请空间,并解密了一段代码(我们命名为PE1)

4)加载PE1数据
  将解密后的PE文件以文件对齐的方式加载到内存中
拷贝PE1头部、遍历拷贝区段:


  之后就是PE1数据的执行了,此时不需像之前一样获取kernel32.dll基址再获取API地址了,因为我们解析的是完整的PE文件,文件里有导入表,修复IAT即可。

5)修复PE文件IAT

  这样整个过程PE数据没有在磁盘落地,可以躲避杀软的文件检测。本来以为这样就可以了,但是病毒又做了一层封装,使用反射式DLL注入,我们DUMP下此时的内存(命名为PE1.EXE),继续分析。

反射式DLL注入分析

反射式DLL注入原理:
  简单说,常见DLL注入最终都会使用LoadLibrary完成DLL装载,而反射式注入通过为DLL添加一个导出函数ReflectiveLoader来实现装载自身,这样只需要将DLL文件写入目标进程的虚拟空间中,然后通过DLL的导出表找到这个ReflectiveLoader并调用它就可以了。不需要在文件系统存放目标DLL,减少了文件“落地”被删的风险。同时它没有通过LoadLibrary等API来完成DLL的装载,DLL并没有在操作系统中”注册”自己,因此更容易通过杀软的行为检测。
  难点在于ReflectiveLoader运行时DLL没有被装载,所以编写的代码必须是地址无关,也即ReflectiveLoader中的代码无论处于虚拟空间的哪个位置,它都必须能正确运行。
  需要注意的是,病毒本身是利用了DLL导出函数实现DLL装载,并没有真正的注入其它进程,也就是相比完整的反射式注入少了注射器部分(VirtualAllocEx、WriteProcessMemory、CreateRemoteThread),但反射原理相同,暂且理解为是"反射式注入自身”吧。
OD继续调试原程序hmieuy.exe,IDA解析PE1.EXE,此时会有一些代码混淆,OD指令会出现很多错乱。


发现关键点,怀疑病毒使用了反射注入DLL的方式(遇到大量花指令,可直接从IDA找地址OD跳转,不需一步一步跟,为方便调试,使用OD调试PE1.EXE)

最终得到了PE1.EXE释放的PE2.DLL,DUMP下来。

之后病毒会先CALL进导出函数,实现ReflectiveLoader:
1)定位DLL文件在内存中的基址


2)获取所需的系统API
  通过PEB找到kernel32.dll中的LoadLibraryA(), GetProcAddress(),VirtualAlloc()以及ntdll.dll中的NtFlushInstructionCache()函数。

3)分配一片用来装载DLL的空间

4) 复制PE文件头和各个节
类似PE1
5) 修复DLL的导入表
类似PE1
6) 修复DLL重定位表

7) 调用DLL入口点

NtFlushInstructionCache用来清除指令缓存以避免一些问题。
最终跳转到核心DLL入口。

PE2.DLL数据分析

  折腾半天,终于见到毒螃蟹真身了。
  病毒核心代码可以分成3个主要部分:初始化部分、网络部分和文件加密部分。

初始化部分

1)整体逻辑:

  首先病毒会创建一个新线程来执行代码,主线程会挂起,新线程的初始化部分如下:

2)获取信息及创建互斥体

GranCrab2会从系统中收集各类信息, 如:
•        用户名
•        主机名
•        处理器类型
•        操作系统版本
•        IP地址
•        磁盘空间
•        系统语言等

之后会通过系统信息来命名创建互斥体(Mutex),若判断互斥体存在,则结束进程,防止多开。

3) 查找杀软内核驱动

创建线程(Find_Antivirus),首先会单独寻找卡巴斯基驱动(Klif.sys),看来很是惧怕卡巴的淫威啊,哈哈,看图:


之后会再寻找其它杀软驱动sys如:
•        Fsdfw.sys
•        Srtsp.sys (诺顿)
•        Srtsp64.sys
•        NavEng.sys
•        NavEx15.sys
检测完毕,病毒会将自身释放到系统目录,并设置开机自启动 。

4) 遍历终止进程

  由于是勒索软件,自然需要将需加密的程序结束,以防文件被占用无法加密,结束进程清单如下:
msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlservr.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesktopqos.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe

5) CSP生成RSA密钥

  简单介绍下CSP,全名“加密服务提供者(Cryptographic Service Provider)”, 是微软定义的一套密码服务API,主要存在于Advapi32.dll中,利用CSP可以非常方便的实现AES、RSA、MD5、SHA1等常用加密算法。
病毒使用了微软的CSP容器来加解密,主要分为以下几个步骤:
①产生CSP容器
连接CSP,获得指定CSP的密钥容器的句柄


②生成密钥
生成密钥有两种方式,CryptGenKey(生成随机密钥)和CryptImportKey(导入密钥),病毒使用了CryptGenKey方式。
另:Microsoft Base Cryptographic Provider v1.0:密钥长度为512位
Microsoft Enhanced Cryptographic Provider v1.0:密钥长度为1024位

③导出密钥
由于使用的是RSA算法,所以分别导出公、私钥,如图:


③加解密
④销毁容器
注:加解密部分在4.3加密部分描述

网络部分

1) 遍历杀软进程

病毒会首先寻找是否有杀软进程,相关信息会处理后发往服务器。

2) 生成请求包字符串

GandCrab的服务器托管在.bit域名上,共有以下几种,默认使用第一个
"politiaromana.bit"
"malwarehunterteam.bit"
"gdcb.bit"
检查杀软后,病毒会将之前生成的RSA公私钥通过CryptBinaryToStringA(Windows API)转换为base64编码,之后将编码结果加入到要发送的GET请求字符串中。


RSA公钥:
06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00 01 00 01 00 23 58 07 3F B4 3C 3A 82 57 EA F0 5165 71 93 F6 49 BC AB 90 14 37 11 CC 89 2A 7F 36 11 D4 76 A4 5D D3 09 F3 E2 2B 5D 2F B2 36 AF C2A8 F4 D1 DC 54 8E BB 77 08 38 A4 D0 64 2B 5E 30 22 E0 29 6F B3 62 AA 42 DC 51 35 1A BB 02 E5 7D52 6F 32 D0 00 6B A6 4C 15 E2 D3 D4 5E 77 E6 4D 2D 0D 6C 1F 73 D9 A0 6B C1 5D 87 B8 A8 89 C1 20C5 99 32 B1 02 36 6E 4E 11 E6 F2 C1 CA 7B ED 2C 4E B1 C8 7E C6 51 3C A3 6D 7A 56 81 88 66 BF 1DEA 1C 98 2F E6 62 42 C6 BE 5E D7 53 C5 9A 86 4E AE 21 B2 07 8B 92 72 52 87 BA 8D 7E 85 E4 80 FD22 83 52 E5 BF 68 36 AF 36 1F 4B 6C 54 4F 19 71 84 00 A3 72 A2 48 52 29 AE 7E BE 3D 3A C0 43 D1CC 2F C1 05 59 06 5A 24 10 12 9C A8 D4 36 3D 9E 53 F1 51 3D 1F 92 EA 6A 4A 5D F0 47 5B D4 CC 172C F7 02 85 F6 4D 29 91 EB 8D AF 98 75 9D 1A 93 06 59 62 C8

转换为BASE64:
BgIAAACkAABSU0ExAAgAAAEAAQAjWAc/tDw6glfq8FFlcZP2SbyrkBQ3EcyJKn82EdR2pF3TCfPiK10vsjavwqj00dxUjrt3CDik0GQrXjAi4Clvs2KqQtxRNRq7AuV9Um8y0ABrpkwV4tPUXnfmTS0NbB9z2aBrwV2HuKiJwSDFmTKxAjZuThHm8sHKe+0sTrHIfsZRPKNtelaBiGa/HeocmC/mYkLGvl7XU8Wahk6uIbIHi5JyUoe6jX6F5ID9IoNS5b9oNq82H0tsVE8ZcYQAo3KiSFIprn6+PTrAQ9HML8EFWQZaJBASnKjUNj2eU/FRPR+S6mpKXfBHW9TMFyz3AoX2TSmR642vmHWdGpMGWWLI

我们同时也获得了私钥,太长就不贴出来了~
请求字符串:病毒程序会将搜索到的各种系统信息和公私钥信息整合在一起,如图:


内容很长,这里只截取重要部分,后面私钥部分省略……
百度确认一下本机外网IP,恩,病毒老哥没毛病~

准备完毕后必然是要发送给它自己的服务器了~

伪装成->Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/53

3)通过管道创建nslookup.exe子进程

  病毒会通过创建nslookup.exe子进程的方式来检测服务器是否正常(注:nslookup是系统内置的应用程序,可以通过域名查询服务器ip等DNS信息)。


简单介绍一下管道通信,管道是一种用于在进程间共享数据的机制,其实质是一段共享内存,病毒利用了管道进行父子进程的通信,这样子进程就可以直接影响父进程内存。

为实现父子进程间通信,需要对子进程的管道进行重定向:
创建子进程函数 CreateProcess中有一个参数STARUIINFO,默认情况下子进程的输入输出管道是标准输入输出流,可以通过下面的方法实现管道重定向:
STARTUPINFO si;
si.hStdInput   = hPipeInputRead;   //输入由标准输入 -> 从管道中读取
si.hStdOutput  = hPipeOutputWrite; //输出由标准输出 -> 输出到管道


nslookup politiaromana.bit ns1.virmach.ru(.ru后缀,应该是俄罗斯黑客)

可以看到nslookup通过命令发出请求(服务器IP:109.234.35.56),正常解析后的地址如下:

大佬们可以试试把服务器日了~

4) HTTP协议发送信息

信息的发送是通过HTTP协议进行的:


如果出现网络连接错误或者服务器异常,则代码会进入无限循环,直到找到可用的服务器为止,然后重新查询客户端IP,再次运行nslookup,解析IP地址。如下图:

加密部分

  我们已经知道病毒使用了RSA算法,不过加密前病毒还会对特殊文件、文件路径以及后缀等进行过滤处理。

1) 创建加密线程

过滤磁盘,只对固定磁盘和网络磁盘加密,且每个磁盘创建一个线程:
0 DRIVE_UNKNOWN 未知的磁盘类型
1 DRIVE_NO_ROOT_DIR 说明lpRootPathName是无效的
2 DRIVE_REMOVABLE 可移动磁盘
3 DRIVE_FIXED 固定磁盘
4 DRIVE_REMOTE 网络磁盘
5DRIVE_CDROM 光驱
6 DRIVE_RAMDISK 为RAM

2)过滤文件及路径

如果病毒处于以下文件路径时,会过滤并跳过,防止关键目录被加密系统无法运行:
关键目录:
ProgramData
IETldCache
Boot
Program Files
Tor Browser(洋葱浏览器)
Ransomware
All Users
Local Settings
Windows
其它系统特殊文件夹(SHGetSpecialFolderPathW查找,如C:\Program Files)

跳过指定文件:
.sql
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat .log
thumbs.db
GDCB-DECRYPT.txt

过滤指定后缀(以下后缀文件不加密):

3)创建勒索信息文件

  之后,病毒会在各文件夹根目录创建勒索信息,V2版本的GandCrab很人性啊,怕大家不会用洋葱浏览器,还提供了可直接访问的洋葱链接~

4)文件加密分析

CSP加密基本函数:

  1. CryptImportKey将密钥从BLOB转换到CSP中
  2. CryptGetKeyParam获取密钥的一些参数

  3. CryptEncrypt加密文件

    加密逻辑:
    文件会使用CryptGenRandom(CSP函数,为空间产生随机字节) 配合盐(salt)来加密文件:

    这里为了方便测试我们准备文件”1.txt”,内容为11112222

病毒共对4个部分进行了加密拼接,组成最后的加密文件:
第一段:
病毒通过CryptGenRandom函数,将字符串”GandCrabGandCrab”(长度0x10) 随机后得到随机值,由于后面会用到,我们命名为R1,如图:


可以看到,字符串被随机化,然后病毒会申请一块内存(如图中拷贝到0x1A0000),将随机数拷贝过去,最后通过CryptEncrypt函数加密,结果如下:

第二段:
加密方式与第一段相同,只是字符串变化为“GandCrabGandCrabGandCrabGandCrab”(长度0x20),命名为R2。
随机后:


加密后:

第三段:
  首先病毒会CreateFileW打开待加密文件,并通过ReadFile将原程序映射到内存中,之后会来到下图函数:


  可以观察到,函数的三个参数中有一个是R1(随机数),这样我们有理由怀疑函数中可能使用R1加密。经过反复对比,果然找到了一段非常规的异或代码,将原程序二进制流与R1做pxor操作。

原程序:          01310000  31 31 31 31 31 32 32 32 32 32
R1:                 02A2F254  87 0F 72 81 00 92 6E  F0 38 0E 98 31 BF 41 F2 E8
异或后:  01310000  B6 3E 43 B0 31 A0 5C C2 0A 3C 98 31 BF 41 F2 E8  

  此时不禁小激动一下,有没有可能这毒螃蟹一抽把没加密的盐存在文件中呢?我就单纯的意淫下,哈哈,我们继续往下看~


终于到了最终的文件加密了,函数压入了3个参数:

  1. 原始文本异或R1(随机数)后的字段(0x1310000)
  2. 新申请的存储地址 (0x1320000)
  3. R2(随机数)

  加密时首先会用R2对密文进行异或,0x10字节为一组,利用了EAX、EBX、ECX、EDX分别存储4字节密文


之后是一段F5后长达500行的加密

  看起来虽长,但原理不难,病毒利用了一段内存的各种偏移(偏移值由被加密的ECX寄存器低16位动态获取)进行异或加密(辅以循环位移),我们可以通过把内存DUMP下来,模拟加解密~因为我们之前也得到了私钥,那么现在已经是可以实现解密的,然而有什么意义呢?毕竟中毒时如果没有实时抓包,是无法记录下发送的密钥的,那么即使逆出算法,也没法破解公钥体制,毕竟这是1024位的RSA。

最终看一下病毒文件的写顺序:
1.0x1320000                原文件加密内存


2.0x140000                “GandCrabGandCrabGandCrabGandCrab”随机数加密内存

3.0x1A0000                ”GandCrabGandCrab”随机数加密内存

4.0x1C0000                标志位

最终加密文件1.txt.CRAB

思考总结

  这个病毒分析起来挺有意思的,但很磨时间,掺杂了很多的代码混淆、花指令,shellcode部分无法F5分析。
  一些想法:
  1.分析病毒时若导出表和代码中API很少,有理由怀疑会释放shellcode或PE文件。
  2.合理选择F7进CALL的时机,寻找关键循环或CALL,不要掉入病毒的混淆陷阱。
  3.内存中的释放文件要及时DUMP出来,先IDA静态分析,再OD动态调试。
  4.耐心耐心再耐心,和病毒大哥拼毅力。
  5.对于加解密部分,V1版本的解密是服务器泄露造成的,V2版本对防止逆向分析做了很多处理,但加解密手段没有太大改变。
  6.最后友情提示,谨慎留意钓鱼邮件、漏洞工具包以及不明网站的字体下载! 字体下载!
  能力有限,有误的地方请大家指出~谢谢

GandCrabV2.0 DUMP IDB.rar

831.96 KB, 下载次数: 62, 下载积分: 吾爱币 -1 CB

大于1M,只好分成两个文件

GandCrabV2.0 样本 IDB.rar

562.69 KB, 下载次数: 66, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 63吾爱币 +65 热心值 +61 收起 理由
xiaz1990 + 1 谢谢@Thanks!
羞涩 + 2 + 1 论坛禁止求脱求破,求助软件分析思路,务必在主题帖中描述清楚你的分析思路.
Guitarist_Cheng + 1 + 1 太牛逼了!
tod19960528 + 1 + 1 我很赞同!
john1008 + 1 + 1 谢谢@Thanks!
firelee691 + 1 + 1 用心讨论,共获提升!
fr33m4n + 1 + 1 热心回复!
粉藍弟 + 1 + 1 用心讨论,共获提升!
吾乃木易先生 + 1 + 1 大佬大佬!
天霸动霸tua + 1 + 1 热心回复!
siuhoapdou + 1 + 1 谢谢@Thanks!
colin_chu + 1 + 1 我很赞同!
Xyzkst + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
mj2013ly + 1 + 1 热心回复!
草薙素紫 + 1 + 1 我很赞同!
fearyuan + 1 + 1 我很赞同!
quanp520 + 1 我很赞同!
liutongwei + 1 + 1 谢谢@Thanks!
艾爱姆Joker + 1 + 1 向大佬致敬
noth + 1 + 1 我很赞同!
Nicklobin + 1 + 1 光看都懵逼,我怀疑自己智商可能是负数
人生海海 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yuishang + 1 + 1 热心回复!
virusPPP + 1 + 1 我很赞同!
zzzlucas + 1 + 1 用心讨论,共获提升!
qzr + 1 + 1 用心讨论,共获提升!
xxpl123 + 1 + 1 谢谢@Thanks!
lanlan123 + 1 + 1 每次看到这么牛逼的分析,我就在想,看看人家再看看自己
shadoll + 1 + 1 用心讨论,共获提升!
zhangbaida + 3 + 1 鼓励转贴优秀软件安全工具和文档!
lies2014 + 1 + 1 谢谢@Thanks!
曾经沧海sy + 1 + 1 天书不过如此,辛苦辛苦!
tzn842600 + 1 + 1 热心回复!
likte + 1 + 1 热心回复!
crest_jin + 1 + 1 多谢大佬分享
linruo218 + 1 + 1 谢谢@Thanks!
那份执着 + 1 + 1 每次看到这么牛逼的分析,我就在想,看看人家再看看自己
szx503 + 1 + 1 666 厉害了我的大佬!
教授专用 + 1 用心讨论,共获提升!
Woodmon + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
清香白莲 + 1 + 1 用心讨论,共获提升!
xiaoyou328 + 1 + 1 用心讨论,共获提升!
Ravey + 1 + 1 谢谢@Thanks!
YCAPTAIN + 1 + 1 我很赞同!
枯凡 + 1 + 1 热心回复!
a719458520 + 1 热心回复!
土川鼠 + 1 + 1 谢谢@Thanks!
fhisd + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
认定666 + 1 + 1 用心讨论,共获提升!
liphily + 1 能发信息安全类SCI吗——
xieqijun + 1 + 1 我很赞同!
4703513 + 1 + 1 我很赞同!
FeelingsDog + 1 +1完全看不懂,我只想知道要练多少年才能这么牛逼
happyqq521 + 2 + 1 完全看不懂,我只想知道要练多少年才能这么牛逼
Cock + 1 + 1 鼓励转贴优秀软件安全工具和文档!
jnez112358 + 1 + 1 谢谢@Thanks!
hellowmykami + 1 + 1 我很赞同!
很快再相见123 + 1 + 1 我很赞同!
在那悠远的穹 + 1 + 1 我很赞同!
leifeng + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
代代是个好名字 + 1 + 1 用心讨论,共获提升!
yAYa + 3 + 1 用心讨论,共获提升!
Ms.L + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
 楼主| 发表于 2018-3-20 10:12 | 只看该作者 |楼主
本帖最后由 ScareCrowL 于 2018-3-20 10:23 编辑
snipeer 发表于 2018-3-19 21:20
佩服,感谢楼主分享! 有个疑问,病毒把功能DLL注入到哪些个目标宿主进程去了?如果相对固定,遇到病毒发作 ...

老铁看得很仔细哈,病毒本身是利用了DLL导出函数实现DLL装载,并没有真正的注入其它进程,也就是相比完整的反射式注入少了注射器部分(VirtualAllocEx、WriteProcessMemory、CreateRemoteThread),但反射原理相同,暂且理解为是"反射式注入自身”吧,谢谢指出,已补充~

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
发表于 2018-3-19 21:20 来自手机 | 只看该作者
佩服,感谢楼主分享! 有个疑问,病毒把功能DLL注入到哪些个目标宿主进程去了?如果相对固定,遇到病毒发作,可以第一时间把宿主进程杀掉,减少损失。另一个,杀毒软件,对磁盘文件监控是强项,对直接进入内存的代码变化监控弱。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

板凳
发表于 2018-3-18 15:57 | 只看该作者
对的,咱们论坛就有一个字体下载中病毒的,我也不知道具体情况

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

报纸
发表于 2018-3-18 16:44 | 只看该作者
虽然 不是很懂  但看着楼主确实用心分析了   感谢分享 希望自己也能做到这样

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

地板
发表于 2018-3-18 17:48 | 只看该作者
确实没懂,但是感觉很厉害

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

7#
发表于 2018-3-18 17:57 | 只看该作者
学习,谢谢

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

8#
发表于 2018-3-18 18:18 | 只看该作者
楼主给力,讲的挺不错的

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

9#
发表于 2018-3-18 18:22 | 只看该作者
确实没懂,但是感觉很厉害学习了

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

10#
发表于 2018-3-18 18:24 | 只看该作者
{:1_937:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

11#
发表于 2018-3-18 18:29 | 只看该作者
看懂了一些 后面有些还没读 技术牛 可以 非常棒

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

12#
发表于 2018-3-18 18:40 | 只看该作者
666,大佬可以的

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2018-4-25 10:26

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表
营养早点加盟 品牌早餐店加盟 品牌早点加盟 早点来加盟 天津早点小吃培训加盟
绿色早餐加盟 早点加盟店排行榜 娘家早餐加盟 早点加盟店10大品牌 早点加盟小吃
北京早点摊加盟 早点加盟品牌 早餐加盟好项目 上海早餐车加盟 早点加盟小吃
早餐加盟好项目 北京早餐车加盟 移动早餐加盟 早餐 加盟 早点加盟哪家好
百度