昨天接到的任務,一個鏈接:https://mp.weixin.qq.com/s/ayfw8tWjBe3UOaDcAMrVgw
通過MD5檢索相關信息,大概瞭解了GandCrab勒索病毒家族的概念,目前已經更新到V5.3 之前的時候有接觸過V5.2的樣本,雙重RSA加密的思路實在無解,只有一個私鑰落在了註冊表,然後客戶重裝了電腦,直接懵逼。無解~
早上通讀了2遍病毒分析,整體感覺就是看雪的帖子很大程度模仿了52早先發的帖子,但也確實是自己動手分析了一遍。所以自己思考這種分析復現的價值有多少。首先是病毒邏輯已經有導向圖了,會出現什麼是一個已知的,比如shellcode地址,文件釋放數量和名稱,很多信息在掌握之中。但另一方面可能就是誤導信息的問題,我自己在做病毒分析的時候就有這個感覺,很多標註是不準確的,只是自我的理解,分析的對錯與否感覺只能通過專殺工具實現什麼的來確定,或許這個分析思路就是錯的,對病毒的分析應該關注於它的行爲整體流程,去獲取它的特徵,能夠找到查殺的地方,我的思路,更多集中在分析病毒實現的所有細節,達到可以再現重寫這個程序,整個的方向應該是有問題的。
5/7號更新
1·更新記錄貼注意時間標註
2·保持信息瀏覽,他山之石可以攻玉 https://bbs.pediy.com/thread-251102.htm
這篇對腳本類病毒分析彙總文章的信息中顯示,我所分析的這個GandCrab樣本中提取的PE文件是由py編寫生成的,這個在其他人的分析中都沒有提及。
https://www.52pojie.cn/thread-875130-1-1.html
這篇對WannaCry分析貼中提到的,先進行字符串分析推斷可能的加密算法,然後使用PEID等工具識別程序中的加密算法給分析未知勒索樣本加密思路有提示,對PE區段表和資源段的分析,發現資源中的問題,然後準備後期是否進行dump操作。
5/10號更新
分析過程中同步完善病毒流程圖,時間可控。不然最後容易出現忘記
5/27號更新
DIE查殼工具,可DIY
ExeInfo 未驗證