本文记录了作者对GandCrab勒索病毒的分析过程,从V5.2到V5.3的演变,探讨了分析复现的价值。作者指出,虽然病毒逻辑已知,但分析的准确性可能受限于个人理解和误导信息。更新记录包括对PE文件由py编译生成的发现,以及从WannaCry分析中获得的加密算法推断和资源段分析的启示。强调在分析过程中同步完善病毒流程图的重要性。
昨天接到的任务,一个链接:https://mp.weixin.qq.com/s/ayfw8tWjBe3UOaDcAMrVgw
通过MD5检索相关信息,大概了解了GandCrab勒索病毒家族的概念,目前已经更新到V5.3 之前的时候有接触过V5.2的样本,双重RSA加密的思路实在无解,只有一个私钥落在了注册表,然后客户重装了电脑,直接懵逼。无解~
早上通读了2遍病毒分析,整体感觉就是看雪的帖子很大程度模仿了52早先发的帖子,但也确实是自己动手分析了一遍。所以自己思考这种分析复现的价值有多少。首先是病毒逻辑已经有导向图了,会出现什么是一个已知的,比如shellcode地址,文件释放数量和名称,很多信息在掌握之中。但另一方面可能就是误导信息的问题,我自己在做病毒分析的时候就有这个感觉,很多标注是不准确的,只是自我的理解,分析的对错与否感觉只能通过专杀工具实现什么的来确定,或许这个分析思路就是错的,对病毒的分析应该关注于它的行为整体流程,去获取它的特征,能够找到查杀的地方,我的思路,更多集中在分析病毒实现的所有细节,达到可以再现重写这个程序,整个的方向应该是有问题的。
5/7号更新
1·更新记录贴注意时间标注
2·保持信息浏览,他山之石可以攻玉 https://bbs.pediy.com/thread-251102.htm
这篇对脚本类病毒分析汇总文章的信息中显示,我所分析的这个GandCrab样本中提取的PE文件是由py编写生成的,这个在其他人的分析中都没有提及。
https://www.52pojie.cn/thread-875130-1-1.html
这篇对WannaCry分析贴中提到的,先进行字符串分析推断可能的加密算法,然后使用PEID等工
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
