病毒分析整体思路

已于 2022-11-16 09:52:14 修改
阅读量1.4k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 内网渗透 文章标签: windows
于 2022-11-15 15:01:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/include_voidmain/article/details/127866218
本文介绍了WannaCry勒索病毒的分析思路,从病毒定义到分析过程,包括检查环境、使用Exeinfo PE软件查看样本、分析Windows API函数等。在动态调试中,揭示了病毒如何利用API进行线程操作、文件操作和加密行为。强调了病毒分析需要深入理解Windows API和耐心研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

声明

出品|长白山攻防实验室(ID:逆向萌新)      

以下内容,来自长白山攻防实验室作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

0x01前言

计算机病毒(Computer Virus)指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。

0x02 分析思路

病毒分析,我的思路按照病毒(WannaCry勒索病毒)来分析。

首先,知道WannaCry勒索病毒是蠕虫式勒索病毒,我们先拿到了病毒的样本,确定了环境,是Windows环境下,(放在虚拟机中)进行分析,首先查验一下是否存在壳和导入导出了某些表,在Exeinfo PE软件中进行查看,知道了这个是c语言病毒,利用软件VC++,链接器版本为6.0。

查看pe头部,因为导出表为0,所以我们查看导入表,分析导入的这些动态链接库,存在哪些windows api函数,来分析可能存在了哪些操作。

最低0.47元/天 解锁文章
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6825
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
Linux应急响应思路和技巧(二):文件分析
最新发布
WangsuSecurity的博客
10-22 1428
Linux系统一切皆文件,攻击本身与系统的交互也离不开文件,凭据访问、持久化、防御绕过、恶意样本落盘、提权等攻击阶段都会涉及到文件。
如何分析病毒
0X011954
06-03 1622
基本上确立了自己的研究方向,接下来就该搞些副业了。毕竟在安全界,学校的研究跟上班的要求有较大的差别,那就搞点实际的:分析病毒(而且也好找工作) 当前病毒分析方式大概可以分为两种:静态分析;动态分析 静态分析是指通过分析病毒代码或者病毒的结构来确定病毒的功能,病毒代码不运行; 动态分析是指通过动态运行病毒代码来确定病毒的功能。 当然了,且不说动态静态分析方法,检测病毒最省力的方式莫过于“杀毒软
病毒分析
bilibili的博客
09-21 842
~\(≧▽≦)/~啦啦啦
病毒分析
bilibili的博客
11-14 7792
病毒分析
关键信息基础设施整体安全保障思路.pdf
08-14
因此,提出了开展关键信息基础设施网络安全整体保障的思路和框架。针对这些安全威胁,需要建立一个多层次、全面的安全防护体系,确保关键信息基础设施的安全和稳定运行。 对于网络空间概念的理解,文档给出了两个...
基于数据挖掘的中医治疗新型冠状病毒肺炎用药规律分析.pdf
07-14
这一共识有助于统一和指导中医药在治疗新冠肺炎时的整体思路和用药方向。 文章中引用的参考文献涉及了多个医学期刊,包括《中医研究》、《中国煤炭工业医学杂志》、《临床荟萃》等,这些文献涵盖了稳心颗粒治疗快速...
构建医院大数据安全分析与勒索病毒防御.pdf
11-06
整体来看,构建医院大数据安全分析与勒索病毒防御是一个复杂的系统工程,需要医院从技术、管理和制度等多个维度加以保障。从技术角度,医院需要对大数据进行智能分析,识别潜在威胁,并采取针对性的防护措施。在管理...
典型病毒分析
01-18
对网络病毒的深入理解对网络病毒的深入理解对网络病毒的深入理解
病毒分析技巧
03-22 758
讨论病毒调试技术病毒调试技术跟一般的解密或者逆向分析过程类似,但是由于病毒独有的破坏性,因此决定了调试时候的一些特殊特。如果你有一台专门的机器供你虐待,那你可以略过本文不提;如果你自认为可以用VM对付各种病毒,你也可以略过本文不提,直到有一天某xx病毒检测VM并对此做出反应;下面仅仅讨论一般的病毒调试时候需要注意的事项。1、  如果仅仅出于学习目的,可以找一些经典的病毒进行分析,既可以学习东西,也
介绍数种病毒样本分析格式归纳分析策略
weixin_34054931的博客
07-26 172
数种病毒样本格式: 1卡巴斯基式APT分析 具体到骨子里.有意图分析和模块关系.编写者特征等.IP溯源家常便饭. 2金山火眼式 基本信息 火焰点评 危急行为 其他行为 行为描写叙述 附加信息 注冊表监控 网络监控 值得注意的是火眼使用最多两种哈希来确定一个样本.当然你能够使用其一. 3Comodo(毛豆)在线分析式 这是一张典型的使用毛豆进行...
编写病毒基本思路
Technology & Stocks
02-16 1167
相信电脑界的每个人都痛恨计算机病毒,她给我们带来了很多麻烦和损失,可你知道编写病毒的方法和过程吗?在此我仅以VB编写为例,揭开她的面纱。 用VB编写病毒需要考虑到如下几点: * 感染主机 首先染毒文件运行后先要判断主机是否以感染病毒,也就是判断病毒主体文件是否存在,如果不存在则将病毒主体拷贝到指定位置(如: 将病毒文件拷贝到c:/windows/system/),可用filecop
病毒分析流程总结
auriel的博客
04-27 6626
前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。         首先,病毒分析师必须具备以下知识:编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。                 一、在一个已经感染了病毒的机器上如何找到病毒文件?                找到
简单病毒分析及手工查杀
m1287578441的博客
06-08 2042
简单病毒分析及手工查杀
病毒样本分析学习一
weixin_45299049的博客
10-01 1869
简单的一次静态病毒样本分析
3601病毒分析
datouyu0824的博客
03-20 1512
1.样本概况 1.1 样本信息 病毒名称:3601 所属家族:Zard MD5值:B5752252B34A8AF470DB1830CC48504D SHA1值:AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18 CRC32:4EDB317F 病毒行为概述: - 文件操作行为: 0. 删除病毒进程文件,使用随机文件名创建新的病毒文件并启动进程 1. 遍历目录生成lpk.dll文件,覆盖原dll文件,同时还创建其他文件 - 系统操作行为: ...
简单病毒逆向分析
qq_62016430的博客
04-08 1526
电脑病毒(computer virus),或称电子计算机病毒。是一种在人为或非人为的情况下产生的、在用户不知情或未批准下,能自我复制或运行的电脑程序;电脑病毒往往会影响受感染电脑的正常运作,或是被控制而不自知,电脑正常运作仅盗窃资料、或者被利用做其他用途等用户非自发启动的行为。
王清主编:Windows 0day漏洞分析全攻略
第四篇则是该书的一大亮点,它填补了关于Windows内核安全以及攻防知识的空白,深入探讨了核心系统的安全问题,对于提升整体网络安全防御水平具有重要意义。 第五篇通过丰富的0day案例分析,将理论知识与实战相结合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值