逆向分析-Ollydbg动态跟踪Ransomware.exe恶意锁机程序

1.认识Ollydbg

Ollydbg是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。

Ollydbg快捷键

F2:设置断点;F8:单步步过;F7:单步步入;F4:运行到选定位置(运行到光标所在位置暂停);F9:运行(如果设置断点的程序就会停到断点处,反之程序一直运行到结束);CTRL+F9:执行到返回(执行,直至遇到返回指令ret后暂停),重新加载-后退按钮

2.Ransomwaree.exe

本文所分析的恶意程序-Ransomwar.exe是很多年以前,在一位好心博主分享的站点上免费下载的,原名叫:英雄之刃全图辅助_内部定制版.exe,时隔多年很想链接跳转到原文以示感谢,但怎么也找不着了。。。念叨博主800次,感谢……

此恶意病毒仅限于学习逆向分析使用,程序能实现电脑锁机,破解需要密码,且即使破解玩也会丢失部分原始数据。因此强烈建议在虚拟机中逆向分析。

请勿在真实网络环境中运行或传播,否则责任自负。。。。

3.逆向分析

(1)运行恶意代码Ransomware.exe,初步判定恶意代码的类型。

1.下载Ransomware.exe恶意程序。

2.虚拟机拍快照(非常重要!务必完成!)。

3.在虚拟机中运行恶意程序Ransomware.exe。

运行完发现电脑被锁机了,初步判定该恶意代码是一个锁机勒索程序。

(2)恢复快照,分析锁机程序实现机理

疑问:上图锁机效果如何实现?

解答:Windows系统创建新的登录账户,屏蔽以前的账户。

疑问:Windows系统如何创建新的登录账户?

解答:调用cmd。如:net user 用户名 密码 /add 

因此:在动态跟踪恶意代码时,我们要关注在何时何地调用了cmd。

(3)使用OllyDbg动态跟踪恶意代码Ransomware,分析恶意代码行为。

1.利用OllyDbg动态跟踪Ransomware.exe。

2.字符串里寻找 “cmd.exe /c”。插件-中文搜索引擎-搜索ASCII码

3.双击字符串“cmd.exe /c”,跳转到调用语句,该语句的地位为()并在该地址处按F2下断点。

4.按F9快捷键使程序运行到断点。

6.按F8快捷键,向下单步运行一条指令(不进入子程序)。在信息窗口发现有一个文件路径入栈,是临时目录里面的一个批处理文件。该文件路径为(),文件名为()

打开临时目录,发现不能直观地看到文件0FRSCHOU.bat。由此猜想设置了隐藏属性。

点击组织-文件夹和搜索选项-查看-隐藏文件和文件夹-显示隐藏的文件、文件夹和驱动器。设置系统隐藏文件可见,就看到了这个批处理文件。

(4)根据逆向分析,求解恶意程序的破解密码,完成账户解锁。

1.选中文件-右键-编辑,查看批处理脚本。

2.参考文章-批处理常用命令总结。分析脚本0FRSCHOU.bat,此处新创建了2个激活账户,他们的用户名为“ aeon+随机数”和“要解密加QQ360665490”;密码均(lzj_随机数后两位和后三位的)。到这里,帐户名和密码就已经知道了。密码是“lzj_”加上有一个前缀为“aeon”的帐户后面五位随机数的后两位和后三位。例如随机数是“12345”,则密码为“lzj_45345”。

3.这里的随机数为aeon的后五位:16313,所以解密密码为lzj_13313。输入密码进入系统,动态分析完成。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/707833.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Python开源项目周排行 2024年第9周

#2024年第9周2024年6月3日1buku强大的浏览器书签管理工具。这是一款开源的书签命令行管理工具,它轻量、隐私安全且易于使用,支持从主流浏览器导入书签、自动获取书签信息、跨平台同步和强大的搜索功能。2flagsmith轻松管理功能开关和配置的平台。这是一个…

MJ绘画设计基础——如何玩转midjourney?

抽卡的时候经常有一个问题,就是整张图都还不错,但是某些地方有些小问题,比如说手很奇怪,比如下面这个图,哪都挺好看,就是左手有点问题。 这时候就可以局部重绘来拯救一下 第一次生成的图 点击图片下方的V…

DFS序 欧拉序

【算法分析】 ● DFS 序DFS 序表示从根结点开始对树进行 DFS 所得的结点遍历顺序。 易得上图的 DFS 序为:1,2,3,4,5,6,7,8,9。可见,通过 DFS 序,可…

Nginx+Tomcat负载均衡、动静分离群集方案

一、Tomcat简介 在现代 Web 服务架构中,Tomcat 和 Nginx 是两个至关重要的组件,负责处理用户请求并实现高性能的服务。本篇博客将深入探讨这些技术的原理和部署配置方法。 最初是由Sun的软件构架师詹姆斯邓肯戴维森开发。安装Tomcat后,安装…

最新区块链论文速读--CCF A会议 ICSE 2024 共13篇 附pdf下载 (2/2)

Conference:International Conference on Software Engineering (ICSE) CCF level:CCF A Categories:Software Engineering/System Software/Programming Languages Year:2024 Num:13 第1~7篇区块链文章请点击此处…

后端返回前端时间格式化

时间格式化的方法总共包含以下 5 种。 1.前端时间格式化 JS 版时间格式化 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 function dateFormat(fmt, date) { let ret; const opt { "Y": date.getFullYear().toString(), // 年 …

[Shell编程学习路线]——探讨Shell中变量的作用范围(export)

🏡作者主页:点击! 🛠️Shell编程专栏:点击! ⏰️创作时间:2024年6月14日10点14分 🀄️文章质量:95分 文章目录 ————前言———— 定义变量: 输出变…

[C][数据结构][排序][下][快速排序][归并排序]详细讲解

文章目录 1.快速排序1.基本思想2.hoare版本3.挖坑法4.前后指针版本5.非递归版本改写 2.归并排序 1.快速排序 1.基本思想 任取待排序元素序列的某元素作为基准值,按照该排序码将待排序集合分割成两子序列,左子序列中所有元素均小于基准值,右…

3389端口修改工具,3389端口修改工具的操作步骤

3389端口修改器: 这是一个专门用于修改3389端口的工具,可以方便地修改Windows远程桌面服务的端口号 使用注册表编辑器手动修改: 虽然这不是一个专门的工具,但Windows的注册表编辑器也可以用来修改3389端口。用户需要定位到特定的注…

雷军-2022.8小米创业思考-10-高效率模型:便宜有好货;产品好,价格厚道,公司盈利;爆品模式,分摊成本;资金库存快速周转;铁人三项,硬件,新零售,互联网

第十章 高效率模型 小米方法论 “铁人三项”的商业模式 完整的“小米模式”。这种模式有很多反直觉的地方,需要跟“便宜无好货”等很多固有观念做斗争。有些讽刺的是,小米模式天生就是为实现“便宜有好货”而奋斗。 效率是小米模式的基石&#xff0c…

【CT】LeetCode手撕—5. 最长回文子串

目录 题目1-思路2- 实现⭐5. 最长回文子串——题解思路 3- ACM实现 题目 原题连接:5. 最长回文子串 1-思路 子串的定义:子串是原始字符串的一个连续部分子序列的定义:子序列是原始字符串的一个子集记录最长回文子串的起始位置以及其长度&am…

我的创作纪念日(1825天)

Ⅰ、机缘 1. 记得是大一、大二的时候就听学校的大牛说,可以通过写 CSDN 博客,来提升自己的代码和逻辑能力,虽然即将到了写作的第六个年头,但感觉这句话依旧受用; 2、今年一整年的创作都没有停止,本年度几乎是每周都来…

Python基础教程(十七):CGI编程

💝💝💝首先,欢迎各位来到我的博客,很高兴能够在这里和您见面!希望您在这里不仅可以有所收获,同时也能感受到一份轻松欢乐的氛围,祝你生活愉快! 💝&#x1f49…

轻兔推荐 —— Obsidian

via:轻兔推荐 - https://app.lighttools.net/ 简介 Obsidian 是一个强大的知识管理和笔记应用程序,它基于本地文件存储,支持Markdown格式,并提供丰富的插件生态系统。 - 通过双向链接和图谱视图,帮助用户发现笔记之间…

联动联调,科学调度——探索智慧水务(中水)管理平台的无人值守新路径!

项目背景 随着中国城市化的进程、城市规模以及对应的城市人口数量的增长,社会生产生活过程中产生的污水问题日益严重。如何实现污水再生、变废为宝显得尤为重要。 近年来,某市不断拓展与探索城市中水利用,让经无害化处理后的中水&#xff0…

ubuntu gitlab 部署 私有git库

我的版本 ubuntu-22.04.2-live-server-amd64 GitLab 社区版 v17.0.1 注意剩余硬盘需要3GB以上 一、更新软件 sudo apt update二、gitLab 需要一些依赖项才能正常运行 sudo apt install -y curl openssh-server ca-certificates postfix1、出现邮件 选择 “Internet Site”并…

华为wlan实验

分为三步:1、网络互通,2、AP上线,3、wlan业务 1、网络互通 crow-sw: vlan batch 20 100 dhcp enable int vlan 20 ip add 192.168.20.1 24 dhcp select interfaceinterface GigabitEthernet0/0/2port link-type accessport default vlan 100…

Python | Leetcode Python题解之第150题逆波兰表达式求值

题目: 题解: class Solution:def evalRPN(self, tokens: List[str]) -> int:op_to_binary_fn {"": add,"-": sub,"*": mul,"/": lambda x, y: int(x / y), # 需要注意 python 中负数除法的表现与题目不一…

单链表经典算法题 1

前言 学习了单链表,我们就做一些题来巩固一下。还有就是解题方法不唯一,我就只讲述为自己的方法。 目录 前言 1.移除链表元素 思路 代码 2.反转链表 思路 代码 3.链表的中间节点 思路 代码 总结 1.移除链表元素 思路 我们创建一个新的表…

直播预约:存内计算加速大模型-未来智能计算的新引擎

直播简介: 在人工智能飞速发展的今天,大模型的训练和推理对计算资源的需求日益增长。传统计算架构已逐渐难以满足其对速度和效率的极致追求。本次直播,我们将深入探讨如何利用存内计算技术,为大模型带来革命性的加速效果。 直播亮点: 技术…